Privacyreglement Gecertificeerde Instelling versie 2.0

67
Privacyreglement gecertificeerde instelling, Tekst en toelichting Inhoud Woord vooraf 4 Lijst met gebruikte afkortingen 6 Inleiding 7 1. Wettelijk kader 7 1.1 De Grondwet, Wet bescherming persoonsgegevens en de Jeugdwet 7 1.2 De Wet openbaarheid van bestuur 7 1.3 De Archiefwet 8 2. Technische en organisatorische waarborgen 8 3. De reikwijdte van het Privacyreglement 8 3.1 Wat is een persoonsgegeven? 8 3.2 Vallen alle gegevens onder het beheer van gecertificeerde instelling ook onder dit reglement? 3.3 Welke persoonsgegevens vallen onder het dossier 9 3.4 Van wie worden persoonsgegevens verwerkt? 9 4. De hoofdregels van dit Privacyreglement 10 4.1. Zorgvuldige gegevensverwerking 10 4.2. Inzage 10 4.3. Derdenverstrekking 5. Verstrekken van gegevens door derden aan de gecertificeerde instelling 11 6. Hoofdlijnen, geen rechtstreekse antwoorden 11 Reglement met integrale toelichting 12 1. Algemene bepalingen 12 art. 1. Begripsbepalingen 12 art. 2. Reikwijdte van het reglement 16 art. 3. Taken van de gecertificeerde instelling 16 art. 4. Toegang tot het dossier 17 art. 5. Algemene informatie voor de cliënt over gegevensverwerking 17 2. Doel en voorwaarden van de verwerking van persoonsgegevens 18 art. 6. Doel van de verwerking van persoonsgegevens 18 art. 7. Voorwaarden voor een rechtmatige verwerking 18 art. 8. Grondslag voor de verwerking van persoonsgegevens 19 art. 9. Verwerking van bijzondere persoonsgegevens 21 art. 10. Verwerking van persoonsgegevens met gebruik van audio/visuele hulpmiddelen 22 3. Inzage, afschrift en correctie 23 art. 11. Inzage en afschrift voor de cliënt 23 art. 12. Kennisneming door een betrokkene niet zijnde de cliënt 27 art. 13. Kosten van afschrift 28 art. 14. Recht op correctie 28 4. Derdenverstrekking 30 art. 15. Derdenverstrekking 30 Lid 1 t/m 3: - Informatieverstrekking aan ouders 32 - Informatieverstrekking aan politie/justitie 33 - Informatieverstrekking aan de gemeente 33 - Geheimhoudingsplicht en verschoningsrecht 34 - Informatieverstrekking door derden aan de gecertificeerde instelling bij een Ondertoezichtstelling 36 - Zijn externe onderzoekers rechtstreeks betrokken bij de uitvoering van de taken als bedoeld in artikel 3 Privacyreglement? 36 Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016 1

Transcript of Privacyreglement Gecertificeerde Instelling versie 2.0

Page 1: Privacyreglement Gecertificeerde Instelling versie 2.0

Privacyreglement gecertificeerde instelling, Tekst en toelichting Inhoud

Woord vooraf 4 Lijst met gebruikte afkortingen 6 Inleiding 7 1. Wettelijk kader 7 1.1 De Grondwet, Wet bescherming persoonsgegevens en de Jeugdwet 7 1.2 De Wet openbaarheid van bestuur 7 1.3 De Archiefwet 8 2. Technische en organisatorische waarborgen 8 3. De reikwijdte van het Privacyreglement 8 3.1 Wat is een persoonsgegeven? 8 3.2 Vallen alle gegevens onder het beheer van gecertificeerde instelling ook onder dit

reglement? 3.3 Welke persoonsgegevens vallen onder het dossier 9 3.4 Van wie worden persoonsgegevens verwerkt? 9 4. De hoofdregels van dit Privacyreglement 10 4.1. Zorgvuldige gegevensverwerking 10 4.2. Inzage 10 4.3. Derdenverstrekking 5. Verstrekken van gegevens door derden aan de gecertificeerde instelling 11 6. Hoofdlijnen, geen rechtstreekse antwoorden 11 Reglement met integrale toelichting 12 1. Algemene bepalingen 12 art. 1. Begripsbepalingen 12 art. 2. Reikwijdte van het reglement 16 art. 3. Taken van de gecertificeerde instelling 16 art. 4. Toegang tot het dossier 17 art. 5. Algemene informatie voor de cliënt over gegevensverwerking 17 2. Doel en voorwaarden van de verwerking van persoonsgegevens 18 art. 6. Doel van de verwerking van persoonsgegevens 18 art. 7. Voorwaarden voor een rechtmatige verwerking 18 art. 8. Grondslag voor de verwerking van persoonsgegevens 19 art. 9. Verwerking van bijzondere persoonsgegevens 21 art. 10. Verwerking van persoonsgegevens met gebruik van audio/visuele hulpmiddelen 22 3. Inzage, afschrift en correctie 23 art. 11. Inzage en afschrift voor de cliënt 23 art. 12. Kennisneming door een betrokkene niet zijnde de cliënt 27 art. 13. Kosten van afschrift 28 art. 14. Recht op correctie 28

4. Derdenverstrekking 30 art. 15. Derdenverstrekking 30 Lid 1 t/m 3: - Informatieverstrekking aan ouders 32 - Informatieverstrekking aan politie/justitie 33 - Informatieverstrekking aan de gemeente 33 - Geheimhoudingsplicht en verschoningsrecht 34 - Informatieverstrekking door derden aan de gecertificeerde instelling bij een

Ondertoezichtstelling 36 - Zijn externe onderzoekers rechtstreeks betrokken bij de uitvoering van de taken als

bedoeld in artikel 3 Privacyreglement? 36

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

1

Page 2: Privacyreglement Gecertificeerde Instelling versie 2.0

- Zijn pleegouders rechtstreeks betrokken bij de uitvoering van de taken als

bedoeld in artikel 3 Privacyreglement? 37 - Informatie-uitwisseling binnen de gecertificeerde instelling 37 - Vermoedens van kindermishandeling en huiselijk geweld 37 - Gegevensuitwisseling in een samenwerkingsverband of sociaal netwerk 38 - Feitelijke juistheid gegevens 38 art. 16. Gegevensverstrekking ten behoeve van statistiek of wetenschappelijk onderzoek 41 art. 17. Gegevensverstrekking ten behoeve van de beleidsinformatie en toegang 41 5. Bewaartermijnen en vernietiging 42 art. 18. Bewaren van persoonsgegevens 42 art. 19. Vernietiging van persoonsgegevens op verzoek 44

6. Overige bepalingen 46 art. 20. Klachten 46 art. 21. Melding van verwerking van gegevens 47 art. 22. Slotbepaling 48 Transponeringstabel 49 Literatuurlijst 52 Bijlage I : Richtlijn ‘Feiten volledig en naar waarheid aanvoeren’ Bijlage II : Handreiking ‘Samenwerken en gegevensuitwisseling’ Bijlage III : Privacywijzer

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

2

Page 3: Privacyreglement Gecertificeerde Instelling versie 2.0

Woord vooraf Op 1 januari 2015 is de Jeugdwet in werking getreden en is de Wet op de jeugdzorg (op een aantal bepalingen na) ingetrokken. Met de inwerkingtreding van de Jeugdwet is de bestuurlijke en financiële verantwoordelijkheid voor de jeugdzorg grotendeels bij de gemeente komen te liggen. Het Bureau Jeugdzorg dat in de Wet op de jeugdzorg (Wjz) met een aantal wettelijke taken was belast, komt niet terug in de Jeugdwet. De toegangstaak, het fungeren als Advies- en Meldpunt Kindermishandeling en het bieden van de ‘kindertelefoon’ zijn zaken waar de gemeente nu voor dient zorg te dragen. De kinderbeschermingsmaatregelen1 en jeugdreclassering worden door een gecertificeerde instelling uitgevoerd. Dit privacyreglement heeft betrekking op de wijze waarop de gecertificeerde instelling bij de uitoefening van deze taken omgaat met persoonsgegevens van cliënten. Voor het privacyreglement gecertificeerde instelling is er voor gekozen het privacyreglement Bureau Jeugdzorg als uitgangpunt te nemen en deze waar nodig aan te passen. De gecertificeerde instelling legt, in het kader van het uitvoeren van de wettelijke taken, dagelijks diverse gegevens van cliënten vast, die afkomstig zijn van de cliënt zelf maar ook van anderen, zoals een sociaal wijkteam/CJG, de Raad voor de Kinderbescherming of jeugdhulpaanbieders. Het vastleggen van gegevens is voor de gecertificeerde instelling in principe noodzakelijk om de wettelijk opgedragen taken uit te kunnen voeren. Dat gegevens van de cliënt worden vastgelegd, houdt echter niet in dat derden of collega’s zomaar inzage in deze gegevens hebben. Medewerkers in dienst van de gecertificeerde instelling hebben namelijk een geheimhoudingsplicht en mogen daarom in principe alleen met toestemming van de cliënt gegevens aan anderen dan de cliënt verstrekken. Aan de andere kant heeft de gecertificeerde instelling de taak om de belangen van jeugdige cliënten te beschermen en mag de noodzakelijk geachte hulpverlening niet in gevaar komen. Dit betekent dat soms ook zonder toestemming van bijvoorbeeld de ouders informatie aan derden moet kunnen worden verstrekt. De privacybescherming van jeugdigen, ouders en andere betrokkenen (hierna: ‘de cliënt’) maakt het voor de medewerker van de gecertificeerde instelling soms onduidelijk wanneer wel en wanneer geen persoonsgegevens mogen worden verwerkt. Aan wie mogen welke gegevens worden verstrekt en aan wie juist niet en is hiervoor altijd toestemming van de betrokkenen vereist? Deze vragen worden niet door iedereen op dezelfde manier beantwoord. Daar komt bij dat nieuwe ontwikkelingen zoals het werken met ‘één gezin, één plan en één regisseur’, de roep om als professionals meer samen te werken, de komst van sociale wijkteam waar professionals van verschillende organisaties samen werken de roep om meer gegevensuitwisseling vergroten maar ook tot dilemma’s leiden. Sommige medewerkers ervaren een druk om informatie over een cliënt te verstrekken. Deze ontwikkelingen vragen voor de cliënt en medewerkers om duidelijkheid over hoe door de gecertificeerde instelling met persoonsgegevens wordt omgegaan. Dit reglement richt zich op de gegevensververwerking door de gecertificeerde instelling en biedt daarnaast handvatten voor medewerkers voor hoe met gegevensverwerking en -uitwisseling om te gaan. Bij gegevensuitwisseling binnen een samenwerkingsverband dient voor alle partijen duidelijk te zijn wat het doel en de noodzaak van de samenwerking en gegevensuitwisseling is en zullen er samenwerkingsafspraken moeten worden gemaakt. Van belang hierbij is te realiseren dat een convent de eigen privacyregels niet opzij zet. Ten aanzien van de doelstelling ‘één gezin één plan’ is nog van belang om op te merken dat de wetgever hiermee niet bedoelt dat gewerkt moet worden met één dossier, maar alleen met een gezamenlijk plan en dat ook op dit plan de (eigen) privacyregels van toepassing zijn. In de kabinetsvisie ‘Zorgvuldig en bewust. Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein’ is over ‘één gezin één plan’ het volgende vermeld: “Het 1-plan bevat in beginsel géén informatie over de achtergrond van de problematiek, of de inhoudelijke overwegingen vanuit de verschillende disciplines of hulpverleners. Deze informatie is vastgelegd in de eigen dossiers van de verschillende hulpverleners’.2

1 In artikel 1.1 Jeugdwet is een kinderbeschermingsmaatregel als volgt gedefinieerd: voogdij en voorlopige voogdij op grond van Boek 1 van het Burgerlijk Wetboek, ondertoezichtstelling, bedoeld in artikel 255, eerste lid, van Boek 1 van het Burgerlijk Wetboek en voorlopige ondertoezichtstelling, bedoeld in artikel 257, eerste lid, van Boek 1 van het Burgerlijk Wetboek; 2 Zie ook het Eindadvies Informatievoorziening Sociaal Domein, 29 juli 2013 (VISD) opgesteld door KING in opdracht van de VNG.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

3

Page 4: Privacyreglement Gecertificeerde Instelling versie 2.0

Reikwijdte reglement: drang, nazorg en AMHK De meeste gecertificeerde instellingen bieden naast het uitvoeren van de kinderbeschermingsmaatregelen en jeugdreclassering nog andere producten aan de gemeente aan. De Jeugdwet verbiedt de gecertificeerde instelling jeugdhulp te bieden3, maar in de Memorie van Toelichting is te lezen dat de wet wel ruimte biedt voor de gecertificeerde instelling om betrokken te zijn voordat een kinderbeschermingsmaatregel wordt ingezet (dit wordt ook wel het ‘drang-kader’ genoemd) of bij het nazorgtraject na een gedwongen maatregel betrokken te blijven. In de memorie van antwoord, van 10 januari 2014 is hierover er het volgende over vermeld: (…) “Het klopt dat een gezinsvoogdijmedewerker al bij een gezin betrokken kan zijn, voordat een kinderbeschermingsmaatregel wordt ingezet. Uitgangspunt hierbij is dat deze medewerker op hoofdlijnen dezelfde werkzaamheden uitvoert als in het gedwongen kader. Het gaat in een drangtraject bijvoorbeeld om het gestructureerd en planmatig werken volgens bepaalde methodieken, het kunnen hanteren van geschikte benaderingswijzen voor ouders en kinderen, het inzetten en activeren van netwerken rondom de kinderen, het kennen van het jeugdhulpaanbod in een regio en het hebben van inzicht in aanvullende instrumenten die een gedwongen kader biedt. Daarmee verleent de gezinsvoogdijmedewerker in het vrijwillig kader geen jeugdhulp (in de wettelijke zin van het woord). Hiervoor hoeft de gecertificeerde instelling geen nieuw «vrijwillig» onderdeel op te zetten. Juist als een gezinsvoogdijmedewerker actief is in zowel drangtrajecten als in gedwongen trajecten en nazorgtrajecten is hij van meerwaarde voor de beide vrijwillige trajecten. De gemeente kan ervoor kiezen om, naast de gedwongen trajecten, ook de trajecten voor drang en nazorg bij een gecertificeerde instelling in te kopen. Er is in de nieuwe Jeugdwet geen sprake van verschillende financieringsstromen, alle inkooptrajecten vallen onder de gemeente als enige financier.(…) (…)Het wetsvoorstel biedt de ruimte voor een gezinsvoogdijwerker om bij het nazorgtraject betrokken te blijven. Uitgangspunt hierbij is dat deze medewerker in hoofdlijnen hetzelfde blijft doen, als dat hij ook in het gedwongen kader deed en daarmee dus geen hulpverlening biedt. Een voordeel van blijvende betrokkenheid is dat er geen wisseling plaatsvindt van professionals (één gezin, één plan, één regisseur). Voor kinderen en ouders kan dat belangrijk zijn, bijvoorbeeld omdat een goede relatie behouden blijft en er geen nieuwe kennismakingsgesprekken gevoerd hoeven te worden waarin pijnlijke details uit het verleden aan de orde komen. Maar blijvende betrokkenheid hoeft niet voor elk gezin de beste keuze te zijn. Soms verdient na een gedwongen traject een keuze voor een nieuwe start de voorkeur en is de inzet van nieuwe professionals daarbij verstandig. Vanuit het oogpunt van een financier kan het handhaven van de gezins-voogdijwerker voordelig zijn. Het overdragen van gezinnen tussen professionals en instellingen, het kortsluiten over de problematiek en het registreren daarvan kosten tijd en geld. De oude gezinsvoogdijwerker kan mogelijk efficiënter werken, omdat hij het gezin kent en zodoende aan één woord genoeg heeft. In het nieuwe jeugdzorgstelsel kan de gemeente bepalen hoe ze de nazorg wenst in te richten en wie ze daarbij inzet.(…)4

Het privacyreglement van de gecertificeerde instelling is ook van toepassing op de bemoeienis van de gecertificeerde instellingen in het vrijwillig ( ‘drang-kader’) en bij nazorgtrajecten. Omdat het hier niet om formeel wettelijke taken van de gecertificeerde instelling gaat, kan er over getwist worden of de bepalingen van paragraaf 7.3 van toepassing zijn. Omdat deze bepalingen een nadere uitwerking van de algemene bepalingen van de Wbp betreffen is er voor gekozen de artikelen uit voorgenoemde paragraaf van overeenkomstige toepassing te verklaren. Het privacyreglement is niet van toepassing op het uitvoeren van (een deel van) de taken van het Advies- en Meldpunt Huiselijk Geweld en Kindermishandeling (AMHK, ook wel ‘Veilig Thuis’ genoemd). De reden hiervan is dat, hoewel er juridisch gezien wel ruimte voor is, de AMHK door de wetgever niet als taak van de gecertificeerde instelling wordt gezien, niet iedere gecertificeerde instelling deze taak (op dezelfde wijze) uitoefent en de wet- en regelgeving van

3 Kamerstukken 33684, memorie van antwoord, ontvangen 10 januari 2014, pag. 59 e.v. 4 Kamerstukken 33684, memorie van antwoord, ontvangen 10 januari 2014, pag. 59 e.v.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

4

Page 5: Privacyreglement Gecertificeerde Instelling versie 2.0

het AMHK niet in de Jeugdwet is bepaald maar in de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) en daarmee binnen een ander wettelijk kader valt.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

5

Page 6: Privacyreglement Gecertificeerde Instelling versie 2.0

LIJST MET GEBRUIKTE AFKORTINGEN AMHK Advies- en Meldpunt Huiselijk geweld Kindermishandeling AMvB Algemene Maatregel van Bestuur Awb Algemene wet bestuursrecht Besl. Kstnverg. Besluit kostenvergoeding rechten betrokkene Wbp BSN Burgerservicenummer BW Burgerlijk Wetboek CBP College bescherming persoonsgegevens EHRM Europees Hof voor de Rechten van de Mens EVRM Europees Verdrag voor de Rechten van de Mens GGZ Geestelijke gezondheidszorg HR Hoge Raad Jw Jeugdwet LBIO Landelijk Instituut Inning Onderhoudsbijdragen NIZW Nederlands Instituut voor Zorg en Welzijn Wbp Wet bescherming persoonsgegevens Wgbo Wet op de geneeskundige behandelingsovereenkomst Wjz Wet op de jeugdzorg Wmo 2015 Wet maatschappelijke ondersteuning 2015 Wob Wet openbaarheid van bestuur WvSr Wetboek van Strafrecht

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

6

Page 7: Privacyreglement Gecertificeerde Instelling versie 2.0

Inleiding De gecertificeerde instelling en de aan haar verbonden medewerkers zijn ingevolge artikel 7.3.8 Jeugdwet (hierna ook: Jw) verplicht een dossier in te richten met betrekking tot de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. Dit dossier bevat persoonsgegevens. In het dossier mogen alleen gegevens worden opgenomen voor zover dit voor een goede hulpverlening aan de jeugdige of ouder noodzakelijk is. Dit betekent onder meer dat in het dossier alleen gegevens van derden mogen worden opgenomen, indien dat voor de uitvoering van de kinderbeschermingsmaatregel, jeugdreclassering of bemoeienis in het vrijwillig kader noodzakelijk is. Met het privacyreglement geeft de gecertificeerde instelling de jeugdigen en ouders/verzorgers en andere betrokkenen duidelijkheid over de wijze waarop de gecertificeerde instelling met hun persoonsgegevens omgaat. Onderstaande toelichting bij het privacyreglement is bedoeld voor de medewerkers van de gecertificeerde instelling. Bij ieder artikel van het privacyreglement wordt een toelichting gegeven. Ook wordt de medewerker handvatten geboden bij het toepassen van de privacyregels in de dagelijkse praktijk. In deze inleiding wordt het wettelijk kader waarbinnen medewerkers van de gecertificeerde instelling met betrekking tot persoonsgegevens van de jeugdige, ouders/verzorgers en andere betrokkenen dienen te handelen geschetst. Ook worden de technische waarborgen waaraan de registratie van cliëntgegevens dient te voldoen kort uitgelegd. Vervolgens worden enkele begrippen alsmede de hoofdregels van het Privacyreglement uitgelegd. 1. Het wettelijk kader Op de verwerking van cliëntgegevens door de gecertificeerde instelling is een aantal wetten van toepassing. De Jeugdwet is hierbij van belang, maar de gecertificeerde instelling heeft daarnaast ook met een aantal andere wetten te maken. In deze paragraaf worden deze kort besproken. 1.1 De Grondwet, de Wet bescherming persoonsgegevens en de Jeugdwet In artikel 10 van de Grondwet en diverse internationale verdragen, waaronder artikel 8 van het EVRM, wordt het recht op eerbiediging van de persoonlijke levenssfeer erkend. Dit betekent dat voorkomen moet worden dat door het verwerken en verstrekken van gegevens de privacy van iemand onaanvaardbaar wordt geschonden. Op grond van het tweede en derde lid van artikel 10 van de Grondwet moet de wetgever daarom regels stellen omtrent het omgaan met persoonsgegevens. Ter uitvoering van artikel 10 van de Grondwet geeft de Wet bescherming persoonsgegevens (Wbp) regels over de bescherming van persoonsgegevens. De Wbp bevat algemene normen die gericht zijn op een zorgvuldige omgang met persoonsgegevens. Voor de gecertificeerde instelling is voor de verwerking van cliëntgegevens met name de Jeugdwet van belang. De Jeugdwet bevat namelijk op een aantal punten een concretisering van de algemene normen van de Wbp. Deze bijzondere regels gaan vóór de algemene bepalingen van de Wbp. Op de gebieden die niet in de Jeugdwet zijn geregeld, zijn de bepalingen van de Wbp van toepassing. 1.2 De Wet openbaarheid van bestuur Naast de Jeugdwet en de Wbp, is ook de Wet openbaarheid van bestuur (Wob) van toepassing op de gecertificeerde instelling, voor zover deze handelt als bestuursorgaan.5 De Wob waarborgt dat de overheid zo ‘open’ mogelijk optreedt, zodat voor de burger duidelijk is hoe de staat handelt. Iedere burger kan op basis van de Wob een verzoek bij een bestuursorgaan indienen om informatie over het beleid van een bestuursorgaan. Op het moment dat de gecertificeerde instelling als bestuursorgaan optreedt, kunnen dergelijke verzoeken worden ingediend. Dit betekent echter niet dat de gecertificeerde instelling op grond van de Wob ook informatie over de cliënt dient te verschaffen. Het is in het algemeen niet de bedoeling dat cliëntgegevens op grond van de Wob openbaar worden.6.

5 De gecertificeerde instelling treedt als bestuursorgaan op het moment dat de rechtspositie van andere personen eenzijdig wordt bepaald. Dat is het geval als wordt verwezen naar een bepaalde vorm van jeugdhulp of bepaalde besluiten worden genomen in het kader van de uitvoering van de ondertoezichtstelling zoals het geven van een schriftelijke aanwijzing. 6 Zie Raad van State, 6 maart 2013 ECLI:NL:RVS:2013:BZ3368 en 17 juni 2015, ECLI:NL:RVS:2015:1895 over de verhouding Wob t.o.v. de bepalingen in de Wjz over inzage en derdenverstrekking

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

7

Page 8: Privacyreglement Gecertificeerde Instelling versie 2.0

1.3 De Archiefwet Het Privacyreglement is onverkort van toepassing op de (verwerking van) persoonsgegevens die in het archief zijn ondergebracht. Dit houdt in dat indien zich een vraag voordoet om inzage in een dossier dat in het archief is ondergebracht, deze volgens het privacyreglement dient te worden beantwoord. Daarnaast valt het beheer van de archieven onder specifieke (archief)wetgeving zoals de Archiefwet 1995, het Archiefbesluit 1995 en een drietal (ministeriële) uitvoeringsregelingen van het Archiefbesluit. De Archiefwet stelt een aantal eisen waaraan archieven van bestuursorganen 7(de gecertificeerde instelling) dienen te voldoen. Deze regels worden met name gesteld om te waarborgen dat informatie van de overheid niet verloren gaat voor bijvoorbeeld wetenschappelijk onderzoek in de toekomst. De wet bevat daarom voorschriften voor de ruimte waarin archieven worden bewaard en stelt bijvoorbeeld eisen aan het papier en de inkt, die voor het afdrukken van beleidsinformatie worden gebruikt. De Archiefwet stelt ook eisen ten aanzien van het bewaren of vernietigen van gegevens. Op grond van deze wetgeving is de gecertificeerde instelling verplicht om zogenaamde selectielijsten op te stellen en een inventarisatie van archiefbescheiden te maken. Zie in dit verband de ministeriële regeling Vaststelling selectielijst Bureaus Jeugdzorg over de periode vanaf 1995, geldend op 02-03-2015 en het Basisselectiedocument Bureau Jeugdzorg van 19995 op www.nationaalarchief.nl. 2. Technische en organisatorische waarborgen Het Privacyreglement regelt niet de technische waarborgen waar het registratiesysteem, waarin de gecertificeerde instelling de cliëntgegevens vastlegt, aan dient te voldoen. De gecertificeerde instelling is op grond van de Wbp echter wel verplicht om passende technische en organisatorische maatregelen te treffen om gegevens van cliënten te beveiligen tegen verlies of (enige vorm van) onrechtmatige verwerking. Deze maatregelen dienen een passend beveiligingsniveau te bieden gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De verplichting tot beveiliging strekt zich uit tot alle onderdelen van het proces van gegevensverwerking, dus van de eerste registratie tot aan de vernietiging van het dossier en alle vormen van gegevensverwerking, dus zowel schriftelijke als digitale verwerking van gegevens. Aangezien het binnen de jeugdzorg steeds vaker voorkomt dat gegevens digitaal worden verstrekt, verdient het aanbeveling dat gegevensverwerking via e-mail wordt vastgelegd in een protocol. Dit om zorgvuldig en veilig gebruik van persoonsgegevens te garanderen. Naarmate de gegevens een gevoeliger karakter hebben, worden zwaardere eisen gesteld aan de beveiliging van gegevens. Aangezien de gecertificeerde instelling regelmatig privacygevoelige persoonsgegevens verwerkt, dienen de beschermingsmaatregelen van hoog niveau te zijn. Hierbij kan gedacht worden aan technische beveiligingsmaatregelen in de zin van fysieke afscherming van de apparatuur die toegang geeft tot de gegevens of bijvoorbeeld beveiliging door middel van encryptie (versleuteling). In het rapport van het College bescherming persoonsgegevens ‘Beveiliging van persoonsgegevens’ worden deze technische en organisatorische maatregelen nader uitgewerkt. 8 3. De reikwijdte van het privacyreglement In deze paragraaf wordt de reikwijdte van het privacyreglement beschreven. 3.1 Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven. Bijna alle gegevens over personen die’de gecertificeerde instelling verwerkt in het kader van de uitvoering van de hulpverlening, zijn aan te merken als persoonsgegevens, zie hierover artikel 1 sub a.

7 De gecertificeerde instelling is – voor een deel van haar taken- een zogenaamd B-orgaan in de zin van de Algemene wet bestuursrecht. 8 Rapport over technische en organisatorische maatregelen: Blarkom, G.W. van en Borking, drs. J.J., Beveiliging van persoonsgegevens, april 2001, Registratiekamer, achtergrondstudies en verkenningen 23.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

8

Page 9: Privacyreglement Gecertificeerde Instelling versie 2.0

3.2 Vallen alle gegevens die onder het beheer van de gecertificeerde instelling ook onder de

werking van dit reglement? Het antwoord is ja. Alle persoonsgegevens die de cliënt betreffen vallen onder de werking van dit reglement. Dit reglement is namelijk van toepassing op de verwerking van gegevens van cliënten; de verwerking van gegevens van bijvoorbeeld werknemers van de gecertificeerde instelling valt niet onder de werking van dit reglement. 3.3 Welke persoonsgegevens vallen onder het dossier? Persoonsgegevens van jeugdigen dienen te worden vastgelegd in het (cliënt)dossier. Het dossier bevat naast gegevens over de jeugdige ook gegevens over andere personen zoals zijn ouders, grootouders, pleegouders, etc.. Zowel gegevens in de computer als de schriftelijke stukken waarin persoonsgegevens over de jeugdige en het gezin verwerkt zijn, behoren tot het dossier. Hieronder valt ook het contactjournaal. Het opbergen van stukken buiten het officiële dossier of de computer betekent niet dat deze gegevens niet onder dit reglement zouden vallen. Waar iets opgeborgen of opgeslagen wordt, maakt niet uit: als een stuk persoonsgegevens bevat, behoort dit tot het dossier en valt het stuk derhalve onder de werking van dit reglement. Persoonlijke werkaantekeningen en rapporten die nog in bewerking zijn, zijn niet ter inzage. Zie verder de toelichting bij artikel 11, zesde lid van dit reglement. 3.4 Van wie worden gegevens verwerkt? De gecertificeerde instelling legt in de dossiers, die in het kader van de uitvoering van een kinderbeschermingsmaatregel, jeugdreclassering of bemoeienis in het vrijwillig kader worden aangelegd, niet alleen gegevens van jeugdigen en ouders vast, maar ook van andere betrokkenen (bijvoorbeeld pleegouders). Daarnaast speelt voor de toepassing van het Privacyreglement ten aanzien van de minderjarige jeugdige ook de vraag wie zijn wettelijk vertegenwoordiger (degene die het gezag over de jeugdige uitoefent, te weten de ouder(s) met gezag of voogd) is een belangrijke rol. De cliënt In dit reglement neemt de cliënt de belangrijkste positie in. Anders dan in de Wet op de Jeugdzorg wordt in de Jeugdwet geen definitie van ‘cliënt’ gegeven. In de Jeugdwet is wel een definitie van de ‘jeudige’ en de ‘ouder’ te vinden. In dit reglement is er voor gekozen voor de definitie van ‘cliënt’ te blijven hanteren waarmee de jeugdige en de ouder(s) worden bedoeld (zie ook de toelichting bij artikel 1 van dit reglement). Voor dit reglement is aan de definitie toegevoegd dat voornoemde personen alleen cliënt zijn als de gecertificeerde instelling of in het kader van de uitvoering van een kinderbeschermingsmaatregel, jeugdreclassering of in het ‘drang- kader’ of nazorgtraject is betrokken. In één dossier kunnen gegevens van verschillende cliënten voorkomen, zoals bijvoorbeeld de gegevens van de jeugdige, van zijn moeder en van zijn vader. De betrokkene (niet zijnde de cliënt) Uit bovenstaande blijkt wie de cliënt is. Naast de cliënt is in dit reglement sprake van de betrokkene. De betrokkene is degene over wie de gegevens informatie bevatten. Alle cliënten zijn om die reden betrokkene, maar niet alle betrokkenen zijn cliënt. Zo kunnen in het dossier gegevens voorkomen van pleegouders, die via pleegzorg een jeugdige opvangen, grootouders, biologische vader e.d. Zij zijn geen cliënt, maar komen wel in het dossier voor en zijn om die reden ‘betrokkene’. Aangezien de betrokkenheid van de gecertificeerde instelling zich richt op de cliënt heeft deze een sterkere rechtspositie dan een betrokkene die geen cliënt is. Betrokkenen die geen cliënt zijn, hebben bijvoorbeeld alleen recht op hen betreffende informatie uit het dossier, indien de geheimhoudingsplicht van de medewerker met betrekking tot de cliënt daaraan niet in de weg staat (zie hierover verder artikel 1 sub d en e en artikel 15). Overigens geldt niet iedereen wiens naam in een rapportage vermeld staat, als een betrokkene. De gegevens van een persoon moeten voldoende zelfstandige betekenis hebben om die persoon ook als betrokkene aan te merken. De wettelijk vertegenwoordiger De wettelijk vertegenwoordiger is degene die het gezag uitoefent over een jeugdige. In de meeste gevallen wordt het gezag uitgeoefend door één of twee ouders. Als de ouders zijn

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

9

Page 10: Privacyreglement Gecertificeerde Instelling versie 2.0

overleden of het gezag van de ouders is beëindigd, dan oefent een voogd het gezag uit. De rechter kan een gecertificeerde instelling of bijvoorbeeld een familielid tot voogd benoemen. De wettelijk vertegenwoordiger heeft op grond van het Privacyreglement bepaalde bevoegdheden die anderen, bijvoorbeeld een ouder zonder gezag niet hebben. Zo is voor het verstrekken van informatie aan anderen de toestemming van de wettelijk vertegenwoordiger vereist, indien de jeugdige cliënt jonger dan twaalf jaar is. Ook heeft de wettelijk vertegenwoordiger in bepaalde gevallen recht op inzage in dossiergegevens van de jeugdige. De juridische ouder De term ‘juridische ouder’ komt een aantal maal in het Privacyreglement en de privacywijzer voor en behoeft enige toelichting. De juridische moeder is kort gezegd: - de vrouw uit wie het kind is geboren; - de vrouw die op het moment van de geboorte van het kind met de vrouw uit wie het kind is geboren is getrouwd of een geregistreerd partnerschap heeft en waarbij het kind via een anonieme donor is verwerkt en hiervan bij de geboorte een verklaring van de Stichting donorgegevens is; - die het kind heeft erkend; - van wie het ouderschap gerechtelijk is vastgesteld of - de vrouw die het kind heeft geadopteerd. De juridische vader is kort gezegd: - de man die ten tijde van de geboorte met de moeder is gehuwd of een geregistreerd partnerschap heeft ; - de man die het kind heeft erkend; - de man die het kind heeft geadopteerd; of - de man van wie het vaderschap gerechtelijk is vastgesteld. 4. De hoofdregels van het Privacyreglement De hoofdregels van de privacybescherming zijn duidelijk: verwerking van persoonsgegevens dient zorgvuldig te geschieden, iedereen behoort inzage te hebben in zijn eigen persoonsgegevens en verstrekking van persoonsgegevens aan derden geschiedt in beginsel alleen na toestemming van de cliënt. In deze paragraaf worden deze hoofdregels kort uitgewerkt. 4.1 Zorgvuldige gegevensverwerking Om de wettelijk opgedragen taken goed uit te kunnen voeren, moet de gecertificeerde instelling gegevens van cliënten verwerken. Onder verwerking van gegevens valt iedere handeling binnen de hulpverlening waarbij gegevens van cliënten worden vastgelegd of uitgewisseld met anderen, van de eerste registratie van de hulpvraag tot aan de vernietiging van het dossier. De gecertificeerde instelling dient zorgvuldig om te gaan met deze cliëntgegevens en mag niet méér gegevens verzamelen of verstrekken aan derden dan noodzakelijk is voor de hulpverlening in het kader van de uitvoering van een bepaalde wettelijke taak. Of anders gezegd: de gegevensverwerking moet passen binnen het doel (genoemd in artikel 6 van het reglement) waarvoor de gegevens verzameld zijn. Het doel en de algemene voorwaarden van de verwerking van cliëntgegevens door de gecertificeerde instelling zijn vastgelegd in paragraaf 2 van het reglement. 4.2 Inzage Een cliënt of betrokkene heeft het recht om te weten wat er over hem wordt geregistreerd. Hij heeft daarom recht op inzage in zijn dossiergegevens. De cliënt heeft alleen recht op inzage in gegevens die hem zelf betreffen en niet in gegevens van een ander. Als de gecertificeerde instelling informatie verstrekt aan de cliënt die niet hem zelf betreffen, dan is er geen sprake van inzage, maar van zogenaamde derdenverstrekking. Alleen de wettelijk vertegenwoordiger heeft een aparte positie. Deze heeft niet alleen recht op gegevens die hem zelf betreffen, maar in principe op informatie over een jeugdige cliënt die jonger is dan zestien jaar of die niet in staat is tot een redelijke waardering van zijn belangen terzake. Een cliënt die inzage heeft gehad in zijn dossiergegevens heeft ook recht op een afschrift van deze gegevens. Tevens kan hij de gecertificeerde instelling verzoeken bepaalde gegevens te corrigeren. Het recht op inzage, afschrift en correctie van cliënten is opgenomen in paragraaf 3 van het Privacyreglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

10

Page 11: Privacyreglement Gecertificeerde Instelling versie 2.0

4.3 Derdenverstrekking De reden dat iemand alleen recht heeft op inzage in zijn eigen gegevens en niet in de gegevens van anderen is dat de hulpverlener een geheimhoudingsplicht heeft met betrekking tot gegevens over de cliënt. Dit houdt in dat in principe alleen met toestemming van de cliënt informatie mag worden verstrekt aan anderen (‘derden’). Voorkomen moet echter worden dat de noodzakelijke hulpverlening niet op gang kan komen, omdat de cliënt (of zijn wettelijk vertegenwoordiger) weigert toestemming te geven voor de verstrekking van informatie aan derden. Daarom is het op grond van het Privacyreglement in bepaalde gevallen toegestaan om ook zonder toestemming van de cliënt informatie aan derden te verstrekken. Dit is opgenomen in paragraaf 4 van het reglement. 5. Verstrekken van gegevens door derden aan de gecertificeerde instelling Het Privacyreglement regelt de verwerking en de verstrekking van cliëntgegevens door de gecertificeerde instelling aan derden maar ziet niet op de verstrekking van gegevens aan de gecertificeerde instelling door bijvoorbeeld de Raad voor de Kinderbescherming, jeugdhulpaanbieders, scholen, sociaal wijkteam etc. De vraag of een andere instelling informatie aan de gecertificeerde instelling mag verstrekken, wordt namelijk bepaald door de privacywetgeving waar de betreffende instelling onder valt en dus niet door de privacyregels die voor de gecertificeerde instelling gelden. Het gaat te ver om deze wetgeving hier uitgebreid te behandelen. Wel is in dit verband van belang om te wijzen op het volgende. Informatieverstrekking door derden bij ondertoezichtstelling (let op: geldt niet voor voogdijzaken of jeugdreclassering) In artikel 7.3.11, vierde lid Jw is bepaald dat derden die beroepshalve beschikking over inlichtingen inzake feiten en omstandigheden die de persoon van een onder toezicht gestelde minderjarige, diens verzorging en opvoeding of de persoon van een ouder of voogd betreffen én deze inlichtingen noodzakelijk kunnen worden geacht voor de uitvoering van een ondertoezichtstelling, deze informatie aan de gecertificeerde instelling verstrekken. Deze inlichtingen dienen te worden verstrekt als de medewerker van de gecertificeerde instelling er om verzoekt of uit eigen beweging. Voor het geven van deze inlichtingen is geen toestemming van de betrokkenen nodig en de inlichtingen kunnen indien nodig met doorbreking van de plicht tot geheimhouding worden verstrekt. Het gaat hier om een verplichting informatie te verstrekken. De wetgever acht het van belang dat de gezinsvoogdijwerker in het belang van het kind voor alle relevante informatie zou moeten kunnen beschikken. Het gaat hier niet alleen om hulpverleners die direct bij het kind zijn betrokken, maar ook om hulpverleners die betrokken zijn bij andere gezinsleden.9 Ook de jeugdhulpaanbieder die een medische behandeling bieden die onder de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) valt hebben de verplichting relevante informatie te verstrekken.10 Hierna zal nog nader van een aantal instanties worden aangegeven of, en zo ja onder welke voorwaarden, zij – naast de verplichting die voor hen geldt op grond van artikel 7.3.11 vierde lid Jeugdwet- informatie aan de gecertificeerde instelling mogen verstrekken. Ook voor de gemeente, een sociaal wijkteam/CJG geldt de voorgenoemde bepaling over het verstrekken van informatie aan de gecertificeerde instelling indien er sprake is van een ondertoezichtstelling. Verder zijn de bepalingen uit de Jeugdwet inzake de dossierplicht niet van toepassing op de gemeente/sociaal wijkteam/CJG en zullen zij zelf moeten beoordelen in hoeverre er informatie aan de gecertificeerde instelling mag worden verstrekt. De Raad voor de Kinderbescherming heeft de mogelijkheid om, ook zonder toestemming van de cliënt, gegevens te verstrekken aan de gecertificeerde instelling.

9 Tweede Kamer, vergaderjaar 2010–2011, 32 015, nr. 21 10 Zie het wetsvoorstel Veegwet 2015 artikel III onder E, Tweede Kamer, vergaderjaar 2014–2015, 34 191, nr. 2

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

11

Page 12: Privacyreglement Gecertificeerde Instelling versie 2.0

Voor de jeugdhulpaanbieder als bedoeld in de Jeugdwet, die jeugdhulp verleent en niet valt onder de bepalingen van de Wet op de geneeskundige behandelingsovereenkomst (Wgbo), gelden eveneens de privacyregels van de Jeugdwet. Dit betekent dat, net als voor de gecertificeerde instelling het uitgangspunt is dat alleen met toestemming van de cliënt informatie aan derden wordt verstrekt. Maar zij hebben ook de mogelijkheid om zonder toestemming van de cliënt bepaalde informatie uit te wisselen met degene die rechtstreeks bij de verlening van de jeugdhulp is betrokken en die degene die optreedt als vervanger van de jeugdhulpverlener. De wettelijke mogelijkheid om zonder toestemming informatie uit te wisselen lijkt beperkter dan onder de Wet op de jeugdzorg waarin was bepaald dat er zonder toestemming informatie kon worden uitgewisseld ‘met bij de hulpverlening betrokken beroepskrachten’ (zie verder ook de toelichting bij artikel 15). Voor artsen, psychologen, psychiaters, medewerkers van de jeugdgezondheidszorg, van psychiatrische instellingen geldt de Wgbo. De Wgbo bepaalt dat alleen informatie aan derden mag worden verstrekt met toestemming van de patiënt. Scholen mogen op grond van de Wbp in principe alleen met toestemming van de leerling of zijn wettelijk vertegenwoordiger (indien de leerling jonger dan zestien jaar is) informatie verstrekken aan de gecertificeerde instelling. In ernstige situaties kan een school besluiten om ook zonder toestemming informatie te verstrekken, indien voldaan is aan de vereisten voor overmacht. Zie de vereisten genoemd bij de toelichting op artikel 15 lid 7 van dit reglement. Of de politie informatie aan de gecertificeerde instelling mag verstrekken, wordt geregeld in de Wet politieregisters en het Besluit politieregisters. De politie mag op basis daarvan informatie aan de gecertificeerde instelling verstrekken ten behoeve van de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. De politie mag aan de gecertificeerde instelling op basis van deze bepalingen geen informatie aan de gecertificeerde instelling verstrekken als deze in het drang-kader of nazorgtraject is betrokken. Gebruik Burgerservicenummer (BSN) In de Jeugdwet is bepaald dat bij de uitwisseling van persoonsgegevens voor de uitvoering van de Jeugdwet de gecertificeerde instellingen en de jeugdhulpaanbieders het bsn dienen te gebruiken. Het kan daarbij bijvoorbeeld gaan om de uitwisseling van persoonsgegevens tussen gecertificeerde instellingen of jeugdhulpaanbieders onderling en uitwisseling tussen de gecertificeerde instellingen, de jeugdhulpaanbieders, het college van B & W van gemeente en de raad voor de kinderbescherming. Samenwerking is niet mogelijk zonder de uitwisseling van informatie en (bijzondere) persoonsgegevens. Het is daarbij noodzakelijk dat gewaarborgd wordt dat de betreffende informatie en verwerkte informatie op de betrokken jeugdige van toepassing zijn. Het uniforme gebruik van een uniek en persoonsgebonden nummer is daartoe de aangewezen methode en het bsn het aangewezen instrument. Uitwisseling van persoonsgegevens kan daarnaast ook nog plaatsvinden tussen de gecertificeerde instelling, de jeugdhulpaanbieder, de raad voor de kinderbescherming enerzijds en het Rijk anderzijds, in het kader van de beleidsinformatie.11 6. Hoofdlijnen, geen rechtstreekse antwoorden De hoofdregels van het Privacyreglement mogen dan duidelijk zijn, in de praktijk wordt dat (vaak) anders ervaren. Het juridische kader met daarin de talrijke regels wordt over het algemeen door medewerkers als een verzwarende factor in hun werk beschouwd aangezien er zoveel nuanceringen mogelijk zijn. Juist deze nuances maken het toepassing van de regels lastig. De hoofdregels moeten worden toegepast op concrete situaties. De omstandigheden van het geval bepalen dus hoe de regels toegepast worden. Inzicht in de omstandigheden is dan ook noodzakelijk, en die omstandigheden kunnen met name binnen de jeugdzorg ingewikkeld zijn. Het Privacyreglement geeft uitgangspunten voor de beantwoording van vragen op het gebied van privacy. Het is vervolgens aan de medewerker om de hoofdregels toe te passen en een afweging maken aan de hand van de omstandigheden van de situatie. Het is daarbij van belang dat de afweging die uiteindelijk wordt gemaakt om bijvoorbeeld bepaalde gegevens wel of niet te verstrekken, goed wordt geregistreerd in het dossier zodat later ook inzichtelijk is waarom en hoe die beslissing tot stand is gekomen. Indien een medewerker na raadpleging van dit reglement

11 Vergaderjaar 2012-2013 Kamerstuk 33684 nr. 3

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

12

Page 13: Privacyreglement Gecertificeerde Instelling versie 2.0

twijfelt over het al dan niet verstrekken van persoonsgegevens, kan het beste terughoudend worden gereageerd. Overleg met een jurist van de gecertificeerde instelling is in dit geval sterk aan te bevelen. Om de medewerker van de gecertificeerde instelling bij het maken van zijn afweging tegemoet te komen is een toelichting op het Privacyreglement opgenomen. Daarnaast zijn als bijlage bijgevoegd een richtlijn voor het scheiden van feiten en meningen, een handreiking samenwerken en gegevensuitwisseling en een privacywijzer (waarin via een schema de belangrijkste onderwerpen op het gebied van privacy behandeld worden: het verlenen van inzage (en afschrift) en het verstrekken van gegevens aan derden). Tevens is een transponeringstabel opgenomen, zodat de wettelijke grondslag van ieder artikel kan worden nagegaan.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

13

Page 14: Privacyreglement Gecertificeerde Instelling versie 2.0

Privacyreglement gecertificeerde instelling Tekst en toelichting

De gecertificeerde instelling en de aan haar verbonden medewerkers zijn ingevolge artikel 7.3.8 Jeugdwet verplicht een dossier in te richten met betrekking tot de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. Dit dossier bevat persoonsgegevens. In het dossier mogen alleen gegevens worden opgenomen voor zover dit voor een goede hulpverlening aan de jeugdige of ouder noodzakelijk is. Dit betekent onder meer dat in het dossier alleen gegevens van derden mogen worden opgenomen, indien dat voor de hulpverlening aan de cliënt noodzakelijk is. Met dit privacyreglment geeft de gecertificeerde instelling cliënten duidelijkheid over de wijze waarop de gecertificeerde instelling met hun persoonsgegevens omgaat. Daarnaast biedt het reglement de medewerkers van de gecertificeerde instelling richtlijnen hoe zij om dienen te gaan met gegevens van cliënten. 1. Algemene bepalingen Artikel 1. Begripsbepalingen In dit reglement wordt verstaan onder: a. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare

natuurlijke persoon. b. Bijzondere persoonsgegevens: persoonsgegevens betreffende iemands godsdienst of

levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens en persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig gedrag of hinderlijk gedrag.

c. Jeugdige: persoon die: 1°. de leeftijd van achttien jaar nog niet heeft bereikt, 2°. de leeftijd van achttien jaar heeft bereikt en ten aanzien van wie op grond van artikel 77c van het Wetboek van Strafrecht recht is gedaan overeenkomstig de artikelen 77g tot en met 77gg van het Wetboek van Strafrecht, of 3°. de leeftijd van achttien jaar doch niet de leeftijd van drieëntwintig jaar heeft bereikt en ten aanzien van wie op grond van deze wet: – is bepaald dat de voortzetting van jeugdhulp als bedoeld in onderdeel 1°, waarvan de verlening was aangevangen vóór het bereiken van de leeftijd van achttien jaar, noodzakelijk is; – vóór het bereiken van de leeftijd van achttien jaar is bepaald dat jeugdhulp noodzakelijk is, of – is bepaald dat na beëindiging van jeugdhulp die was aangevangen vóór het bereiken van de leeftijd van achttien jaar, binnen een termijn van een half jaar hervatting van de jeugdhulp noodzakelijk is;

d. Ouder: ouder(s) met gezag, adoptiefouder, stiefouder of anderen die de jeugdige als behorend tot hun gezin verzorgen en opvoeden.12

e. Cliënt: een jeugdige en zijn ouder(s) en die zijn aangemeld bij de gecertificeerde instelling. f. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. g. Dossier: geheel van schriftelijk of elektronisch vastgelegde gegevens met betrekking tot de

uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. h. Gecertificeerde instelling: de instelling als bedoeld in artikel 1.1. Jw, die als

verantwoordelijke het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

i. Bewerker: degene die ten behoeve van de gecertificeerde instelling persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

j. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door

12 Dit is definitie van ouder in artikel 1.1. Jeugdwet. De (juridische) ouder zonder gezag is, in tegenstelling tot de Wet op de Jeugdzorg, niet opgenomen in de definitie. Deze ouder (en dat geldt ook voor de voogd) kan eventueel onder gebracht worden onder de categorie ‘anderen die de jeugdige als behorend tot hun gezin verzorgen en opvoeden’.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

14

Page 15: Privacyreglement Gecertificeerde Instelling versie 2.0

middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

k. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.

l. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

m. Wettelijke vertegenwoordiger: de ouder(s) of voogd(en) die het gezag uitoefen(t)en over de minderjarige dan wel de mentor of curator van de jeugdige vanaf achttien jaar die niet in staat is tot een redelijke waardering van zijn belangen ter zake.

n. Persoonlijke werkaantekingen: die gegevens, die naar hun aard niet bedoeld zijn om onder andere ogen dan die van de medewerker van de gecertificeerde instelling zelf te komen.

o. Vertrouwenspersoon: een door de gemeente aanwezen persoon die onafhankelijk die jeugdigen of ouders op hun verzoek ondersteunt in aangelegenheden die samenhangen met de wettelijke taken en verantwoordelijkheden van de gecertificeerde instelling en die werkzaam is bij een rechtspersoon met volledige rechtsbevoegdheid.13

p. AMHK: Advies- en Meldpunt Huiselijk Geweld en Kindermishandeling als bedoeld in artikel 4.1.1.Wet maatschappelijke ondersteuning 2015.

q. Verwijsindex: Verwijsindex risicojongere als bedoeld in paragraaf 7.1. Jw. r. Burgerservicenummer: burgerservicenummer als bedoeld in artikel 1 van de Wet algemene

bepalingen burgerservicenummer.

Toelichting a. en b. Beide definities zijn ontleend aan de Wet bescherming persoonsgegevens (Wbp). Er dient een onderscheid te worden gemaakt in gewone en bijzondere persoonsgegevens aangezien de verwerking van de tweede categorie, de bijzondere persoonsgegevens, in beginsel verboden is. Dit verbod van verwerking is neergelegd in artikel 9 van dit reglement. c. en d. zijn beide definities uit de Jeugdwet. In de definitie van ouder zoals bepaald in artikel 1.1. Jw is de (juridische) ouder zonder gezag, in tegenstelling tot de Wet op de Jeugdzorg, niet opgenomen. Deze ouder (en dat geldt ook voor de voogd) kan eventueel onder gebracht worden onder de categorie ‘anderen die de jeugdige als behorend tot hun gezin verzorgen en opvoeden’. e. Het begrip cliënt is zoals hiervoor als is opgemerkt geen term die in de Jeugdwet wordt gebruikt. Omdat in de praktijk wel wordt gewerkt met de term ‘cliënt’ is er in dit reglement voor gekozen deze term wel terug te laten keren. Het cliëntbegrip is dermate breed dat er sprake kan zijn van meerdere cliënten. Als gevolg van dit cliëntbegrip kunnen immers zowel de jeugdige, vader, moeder als pleegouder(s) op hetzelfde moment cliënt zijn van de gecertificeerde instelling. Als zich een vraag voordoet in het kader van verwerking van persoonsgegevens moet daarom eerst de vraag gesteld worden wie cliënt is ten aanzien van die specifieke vraag, zodat de cliënt onderscheiden kan worden van ‘derden’. Dit onderscheid is namelijk van belang voor het verlenen van inzage of het verstrekken van persoonsgegevens. Ook pleegouders kunnen vallen onder het cliëntbegrip. Zij zijn echter niet in alle situaties als cliënt aan te merken. Pleegouders die een jeugdige in het kader van jeugdhulp als behorend tot hun gezin opvoeden, bieden namelijk zorg. In dit opzicht zijn zij geen cliënt. De begeleiding die zij voor het goed functioneren als pleegouder ontvangen is voor hen dan ook geen jeugdhulp. Pleegouders kunnen echter wel een beroep doen op jeugdhulp als de opvoeding van het pleegkind bijvoorbeeld zodanige problemen meebrengt dat jeugdzorg, zoals bijvoorbeeld videohometraining, noodzakelijk is. Zij kunnen hiervoor dan terecht bij de gemeente. f. De definitie is overgenomen uit de Wbp. De betrokkene is degene over wie de gegevens informatie bevatten. Dit kan een cliënt zijn, maar ook een ander (bijvoorbeeld pleegouders) zijn.

13 Hierbij is aangesloten bij het bepaalde in artikel 2.6 lid 2 Jeugdwet

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

15

Page 16: Privacyreglement Gecertificeerde Instelling versie 2.0

In de praktijk kan het voorkomen dat een gegeven op meer personen tegelijk betrekking heeft. Ieder is dan betrokkene voor zichzelf en ‘derde’ ten opzichte van de anderen. Het enkele feit dat iemands naam in een rapport vermeld is, heeft niet onmiddellijk tot gevolg dat die persoon als betrokkene kan worden aangemerkt. De gegevens (van een persoon) moeten voldoende zelfstandige betekenis hebben om deze persoon als betrokkene aan te merken. g. Een dossier wordt doorgaans op naam van de jeugdige gesteld, maar bevat in de regel gegevens van meerdere personen en instanties zoals vader, moeder, pleegouders en school. Een dossier is dan ook vaak gemengd van karakter. Het dossier bestaat niet alleen uit schriftelijke gegevens, ook digitale gegevens die in de computer of op een diskette zijn opgeslagen vallen onder het dossier. Het contactjournaal is onderdeel van het dossier en daarom ter inzage. Persoonlijke werkaantekeningen en conceptversies van rapportages daarentegen zijn geen onderdeel van het dossier en daarom niet ter inzage. Zie hierover ook de toelichting bij artikel 13 lid 6. Er is een ontwikkeling gaande dat, de doelstelling van de Jeugdwet ‘één gezin, één plan, er meer met gezinsdossier gewerkt gaat worden. Op grond van artikel 7.3.8 is de medewerker van de gecertificeerde instelling verplicht om een dossier in te richten met betrekking tot de hulpverlening. Uitdrukkelijk is daarbij bepaald dat slechts geldt voor zover dit voor een goede hulpverlening aan de jeugdige of ouder noodzakelijk is. Dat betekent onder meer dat in het dossier eventueel alleen gegevens van derden (bijvoorbeeld de ouders of andere gezinsleden van de jeugdige) mogen worden opgenomen, indien dat voor de hulpverlening aan de jeugdige noodzakelijk is. Hiermee is ook duidelijk dat op grond van dit wetsvoorstel geen sprake kan zijn van een ‘gezamenlijk dossier’ (MvT toelichting art. 7.3.8 Jw). h. Het begrip verantwoordelijke is afkomstig uit de Wbp. Het begrip doelt op degene die formeel de zeggenschap over de verwerking van persoonsgegevens heeft. In de zin van de Wbp is de gecertificeerde instelling de verantwoordelijke. i. Het begrip bewerker is eveneens afkomstig uit de Wbp. Een bewerker is een persoon die geen deel uitmaakt van de organisatie van de gecertificeerde instelling. De bewerker verleent beroepsmatig administratieve diensten. Ook kan hij een gedeelte of het geheel van de apparatuur, waarmee het geautomatiseerde gedeelte van de cliënten registratie gevoerd wordt, onder zich houden. Bij een bewerker kan bijvoorbeeld worden gedacht aan de salarisadministratie. Er kunnen ook meerdere bewerkers zijn. In geval van cliëntdossiers zal echter in de meeste gevallen geen bewerker betrokken zijn. j Onder verwerking van persoonsgegevens valt iedere handeling binnen de hulpverlening waarbij persoonsgegevens worden vastgelegd, van de eerste registratie van de hulpvraag tot aan de vernietiging van het dossier. k. Het betreft hier verstrekking aan zowel de betrokkene (inzage en afschrift, zie artikel 13 en verder) als aan een derde (derdenverstrekking, zie artikel 15). l. Om te kunnen spreken van een daadwerkelijke toestemming van de betrokkene zijn drie punten essentieel. De betrokkene moet ten eerste in vrijheid zijn wil kunnen uiten. Ten tweede moet de wilsuiting betrekking hebben op een bepaalde (categorie van) gegevensverwerking. Ten derde moet de betrokkene voor een goede oordeelsvorming over de noodzakelijke inlichtingen beschikken met andere woorden betrokkene moet goed worden geïnformeerd over waarvoor hij toestemming geeft. De betrokkene moet dus weten om welke gegevensverwerking het gaat en hiervoor gerichte toestemming geven. Het verdient aanbeveling de vereiste toestemming schriftelijk te verkrijgen. Zo wordt zoveel mogelijk twijfel over de gegeven toestemming uitgesloten. m. Deze personen worden door de wet aangewezen als vertegenwoordiger. n. Deze definitie is toegevoegd omdat deze term in het reglement wordt gebruikt. o. Hierbij is aangesloten bij artikel 2.6, tweede lid, Jw. De cliënt kan zich laten bijstaan door een vertrouwenspersoon. In het Besluit Jeugdwet wordt een aantal bevoegdheden aan de vertrouwenspersoon toegekend. Om onduidelijkheid te voorkomen over de vraag of iedere vertrouwenspersoon deze bevoegdheden toekomt, is er voor gekozen aan te sluiten bij artikel 2.6 Jw.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

16

Page 17: Privacyreglement Gecertificeerde Instelling versie 2.0

p. Zoals al is toegelicht heeft dit reglement geen betrekking op het uitvoeren van AMHK-taken door een gecertificeerde instelling. Om duidelijkheid te geven over wat met het AMHK wordt bedoeld is een definitie hiervan gegeven. q. In paragraaf 7.1.1. Jw zijn de bepalingen over de verwijsindex te vinden. De verwijsindex risicojongeren (VIR) is een digitaal systeem dat risicosignalen van hulpverleners over jongeren (tot 23 jaar) bij elkaar brengt. Door de meldingen in de verwijsindex weten hulpverleners sneller of een kind ook bekend is bij een collega, zodat zij kunnen overleggen over de beste aanpak.

De gecertificeerde instelling kan zonder toestemming van de jeugdige of zijn wettelijk vertegenwoordiger en zo nodig met doorbreking van de op grond van zijn ambt of beroep geldende plicht tot geheimhouding, een jeugdige melden aan de verwijsindex indien hij een redelijk vermoeden heeft dat de jeugdige door een of meer van de hierna genoemde risico’s in de noodzakelijke condities voor een gezonde en veilige ontwikkeling naar volwassenheid daadwerkelijk wordt bedreigd. Het gaat om ‘risicosignalen’, dus er moeten aanwijzingen zijn dat er echt iets aan de hand is.

In de VIR staat alleen geregistreerd dat er een melding is gedaan. De aard van de melding en de behandeling worden niet bijgehouden. Die informatie blijft in het dossier bij de betreffende hulpverlener. Een melding omvat alleen: • identificatiegegevens van de jongere (aan de hand van het burgerservicenummer); • identificatiegegevens van de meldende instantie; • datum van de melding; • contactgegevens van de meldende instantie.

Zie voor meer informatie www.handreikingmelden.nl. r. Het Burgerserivcenummer (BSN) is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Zie ook hierboven bij ‘bijzondere persoonsgegevens’.

Artikel 2. Reikwijdte van het reglement Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet-geautomatiseerde verwerking van persoonsgegevens die in een dossier zijn opgenomen of die bestemd zijn om daarin te worden opgenomen en die verband houden met de taken van de gecertificeerde instelling. Toelichting Dit reglement is van toepassing op het geheel van verwerking van persoonsgegevens die in een dossier van een jeugdige zijn of zullen worden opgenomen. Dit houdt in dat zowel schriftelijke als digitale stukken onder de werkingssfeer van dit reglement vallen. Artikel 3. Taken van de gecertificeerde instelling De gecertificeerde instelling heeft blijkens zijn statuten, de Jeugdwet en daarbij behorende besluiten, voor zover van belang voor de verwerking van persoonsgegevens, de volgende wettelijke taken: a. het uitoefenen van kinderbeschermingsmaatregelen als bedoeld in artikel 1.1 Jeugdwet, te

weten voogdij en voorlopige voogdij op grond van Boek 1 van het Burgerlijk Wetboek (BW), ondertoezichtstelling als bedoeld in artikel 255, eerste lid, van Boek 1 van het BW en voorlopige ondertoezichtstelling, bedoeld in artikel 257, eerste lid, van Boek 1 van het BW;

b. het uitoefenen van jeugdreclasseringstaken als bedoeld in artikel 1.1 Jeugdwet, te weten reclasseringswerkzaamheden, genoemd in artikel 77hh, eerste lid, van het Wetboek van Strafrecht, begeleiding, genoemd in artikel 77hh, tweede lid, van dat wetboek en het begeleiden van en toezicht houden op jeugdigen die deel nemen aan een scholings- en trainingsprogramma als bedoeld in artikel 3 van de Beginselenwet justitiële jeugdinrichtingen, het geven van de aanwijzingen, bedoeld in artikel 12, vijfde lid, van die wet, of de overige taken die bij of krachtens de wet aan de gecertificeerde instellingen zijn opgedragen en

c. overige taken die de gecertificeerde instelling naast de wettelijke taken genoemd onder sub a en b, anders dan taken van het AMHK, aanbiedt.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

17

Page 18: Privacyreglement Gecertificeerde Instelling versie 2.0

Toelichting In dit reglement zijn alleen de kerntaken van de gecertificeerde instelling opgenomen, aangezien iedere gecertificeerde instelling deze taken in ieder geval uitoefent. De definities van de taken zijn ontleend aan de Jeugdwet Sommige gecertificeerde instellingen oefenen naast deze kerntaken nog andere taken uit die niet expliciet uit de wet volgen Zoals in de inleidende tekst hierboven staat vermeld, verbiedt de Jeugdwet de gecertificeerde instelling jeugdhulp te bieden14, maar blijkt uit de Memorie van Toelichting bij de Jeugdwet dat de wetgever ruimte ziet voor de gecertificeerde instelling om betrokken te zijn voordat een kinderbeschermingsmaatregel wordt ingezet of bij het nazorgtraject betrokken te blijven. Het betrokken zijn voordat een kinderbeschermingsmaatregel is uitgesproken wordt ook wel het ‘drang-kader’ genoemd. Het privacyreglement van de gecertificeerde instelling is ook van toepassing op de bemoeienis van de gecertificeerde instellingen in het ‘drang-kader’ en bij nazorgtrajecten. Zie ook hierboven onder de inleidende tekst. Het reglement is niet van toepassing op het uitvoeren van (een deel van) de taken van het Advies- en Meldpunt Huiselijk Geweld en Kindermishandeling (AMHK, ook wel ‘Veilig Thuis’ genoemd) is uitgezonderd. De reden hiervan is dat niet iedere gecertificeerde instelling deze taak (op dezelfde wijze) uitoefent en de wet- en regelgeving van het AMHK niet in de Jeugdwet is bepaald maar in de Wet maatschappelijke ondersteuning 2015 en daarmee binnen een ander wettelijk kader valt. Artikel 4. Toegang tot het dossier Directe toegang tot het dossier hebben alleen die personen die behoren tot de organisatie van de gecertificeerde instelling of van de bewerker, en uitsluitend voor zover noodzakelijk voor de uitvoering van hun taak. Anderen dan zojuist genoemde personen hebben slechts toegang indien een wettelijk voorschrift de gecertificeerde instelling verplicht tot het verlenen van toegang. Toelichting De gecertificeerde instelling voert verschillende taken uit, zoals beschreven in artikel 3. Directe toegang tot het cliëntdossier hebben alleen medewerkers van de gecertificeerde instelling, die betrokken zijn bij de uitvoering van de maatregel. Deze medewerkers hebben uitsluitend toegang als dat noodzakelijk is voor de uitvoering van hun taak. Voor zover een gecertificeerde instelling met verschillende afdelingen werkt, betekent dit dat medewerkers van de afdeling jeugdbescherming geen rechtstreekse toegang tot het cliëntdossier van de afdeling jeugdreclassering hebben. Op het interne gegevensverkeer tussen de verschillende medewerkers en afdelingen van de gecertificeerde instelling zijn namelijk de regels voor derdenverstrekking van toepassing, die in artikel 15 van dit reglement zijn uitgewerkt. Ook voor gecertificeerde instellingen waarbij de verschillende taken met elkaar zijn geïntegreerd, geldt het bepaalde in artikel 15. Normenkader: In het normenkader ten behoeve van certificering van uitvoerende organisaties voor Jeugdbescherming en Jeugdreclassering is bepaald dat de professional toegang dient te hebben tot alle (digitale) informatie die in een casus van belang is, met inachtneming van de privacywetgeving.15 Het verdient in dit licht aanbeveling dat de gecertificeerde instelling de wijze van interne gegevensverstrekking evenals de toegang tot dossiers voor medewerkers vastlegt in interne richtlijnen. In het artikel is verder opgenomen dat ‘anderen dan personen die behoren tot de organisatie van de gecertificeerde instelling of van de bewerker’ slechts toegang hebben indien een wettelijk voorschrift verplicht tot toegang. Hierbij kan worden gedacht aan bijvoorbeeld ambtenaren van de Inspectie Jeugdzorg. Artikel 5. Algemene informatie voor de cliënt over gegevensverwerking

14 Zie artikel 3.2 lid 2 Jeugdwet. 15 Zie Ministerie van Veiligheid en Justitie, Normenkader ten behoeve van certificering van uitvoerende organisaties voor Jeugdbescherming en Jeugdreclassering versie 1.0, norm D.4.1

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

18

Page 19: Privacyreglement Gecertificeerde Instelling versie 2.0

Zo spoedig mogelijk na de eerste betrokkenheid van de gecertificeerde instelling wordt de cliënt gewezen op dit reglement en andere beschikbare bronnen waarin te vinden is hoe met de persoonsgegevens wordt omgegaan waaronder informatie over de verwijsindex als bedoeld in paragraaf 7.1. Jeugdwet. Tevens wordt de cliënt gewezen op informatie over de organisatie en uitleg over de wijze waarop de gecertificeerde instelling de taak waarmee de cliënt te maken krijgt uitvoert. Toelichting Het betreft hier informatieverstrekking aan de cliënt op initiatief van de gecertificeerde instelling. Dit is een verplichting die voortvloeit uit de artikelen 33 en 34 van de Wbp en vormt een uitwerking van het zogenaamde transparantiebeginsel. De verplichting om de cliënt op hoogte te stellen over hoe met zijn persoonsgegevens wordt omgegaan bijvoorbeeld door middel van folders of te verwijzen naar informatie op de website is een belangrijk instrument om het gegevensverkeer doorzichtig te maken voor de cliënt.16 Van belang is dat de cliënt informatie krijgt over het proces van verwerking van persoonsgegevens: op welke wijze worden persoonsgegevens verkregen, voor welke doeleinden worden zij verwerkt en welke regels zijn van toepassing op deze verwerking? Tevens dient de cliënt geïnformeerd te worden over van welke instanties en natuurlijke personen persoonsgegevens worden verkregen, zoals bijvoorbeeld de Raad voor de Kinderbescherming, een gerechtelijke instantie, het Openbaar Ministerie, andere hulpverleners, instanties of leerkrachten. Verwijsindex In het privacyreglement is de verwijsindex niet meegenomen. Omdat hierbij wel persoonsgegevens worden verstrekt is het wel van belang cliënten te wijzen op het bestaan van de verwijsindex en hoe hier door de gecertificeerde instelling mee wordt omgegaan. Algemene informatie De algemene informatie bevat informatie over de organisatie en de uitleg over de wijze waarop de gecertificeerde instelling de taak uitvoert waarmee de cliënt te maken krijgt. Het gaat dan bijvoorbeeld om een folder van de gecertificeerde instelling over de uitvoering van de ondertoezichtstelling of de wijze waarop jeugdhulp wordt ingezet. Overigens heeft de gecertificeerde instelling, naast de plicht om de cliënt te informeren, ook de plicht om indien bij derden informatie wordt opgevraagd over de cliënt, zich kenbaar te maken tegenover deze derden. De gecertificeerde instelling dient daarbij aan te geven voor welke doeleinden de betreffende informatie wordt opgevraagd. 2. Doel en voorwaarden van de verwerking van persoonsgegevens Artikel 6. Doel van de verwerking van persoonsgegevens Het doel van de verwerking van persoonsgegevens is: a. Het mogelijk maken van de uitvoering van de taken zoals genoemd in artikel 3 van dit

reglement. b. Het voldoen aan wettelijke verplichtingen in het kader van de uitvoering van de taken zoals

genoemd in artikel 3 van dit reglement. c. Het vastleggen van gegevens met het oog op het ontwikkelen van beleid, ten behoeve van

wetenschappelijk onderzoek en advisering. d. Het vastleggen van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van de

gecertificeerde instelling, als mede het voldoen aan wettelijke verplichtingen die samenhangen met contractvoorwaarden van de gemeente.

Toelichting De gecertificeerde instelling verwerkt persoonsgegevens met een bepaald doel. De instelling moet namelijk zijn wettelijke opgedragen taken goed kunnen uitoefenen. De taken van de gecertificeerde instelling zijn vermeld in artikel 3 van dit reglement. Het doel van de verwerking dat hieruit logischerwijs voortvloeit, is vermeld in artikel 6.

16 Zie in dit verband ook norm D.1.1. van voorgenoemd normenkader waarin is opgenomen dat de jeugdige en het gezin tenminste worden geïnformeerd over (wijzigingen in) de rechten en plichten van de jeugdige en het gezin.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

19

Page 20: Privacyreglement Gecertificeerde Instelling versie 2.0

Registeren en gebruiken van persoonsgegevens is alleen toegestaan in overeenstemming met het doel waarvoor de gegevens zijn verkregen. Artikel 7. Voorwaarden voor een rechtmatige verwerking 1. Persoonsgegevens worden in overeenstemming met de Wet bescherming persoonsgegevens

en de Jeugdwet op behoorlijke en zorgvuldige wijze verwerkt. 2. Persoonsgegevens worden voor de in artikel 6 van dit reglement genoemde doeleinden

verzameld en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

3. Persoonsgegevens worden slechts verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn.

4. In rapportages en verzoekschriften worden de van belang zijnde feiten volledig en naar waarheid aangevoerd.

Toelichting In dit artikel zijn de voorwaarden voor een rechtmatige verwerking van persoonsgegevens - zoals neergelegd in artikel 11 lid 2 Wbp - opgenomen. Bij de verwerking van persoonsgegevens dient men eerst na te gaan óf de betreffende gegevens mogen worden verwerkt. Zo is het van belang dat de gegevensverwerking in overeenstemming is met het doel, met andere woorden de gegevens moeten noodzakelijk zijn voor de uitoefening van de taak. Verder dienen alléén relevante gegevens te worden verwerkt: gegevens worden alleen verwerkt voorzover zij toereikend, ter zake dienend en niet bovenmatig zijn. Daarnaast is het van belang dat de gegevensverwerking zorgvuldig gebeurt en dat er – in geval van verdere verwerking - een verband is tussen het doel waarvoor de gecertificeerde instelling de gegevens wil gebruiken en het doel waarvoor de gegevens oorspronkelijk zijn verkregen. ‘Feiten volledig en naar waarheid aanvoeren’ In artikel 3.3. Jw is bepaald dat de Raad voor de Kinderbescherming en de gecertificeerde instelling verplicht zijn in rapportages of verzoekschriften de van belang zijnde feiten volledig en naar waarheid aan te voeren. De wetgever heeft deze bepaling aan de Jeugdwet toegevoegd, omdat de wetgever het van belang acht dat bij een ingrijpende maatregel zoals een kinderbeschermingsmaatregel de kinderrechter de zaak zoveel als mogelijk kan beoordelen op basis van feiten. De verplichting die uit dit artikel volgt houdt in dat de gecertificeerde instellingen zich moeten richten op het verzamelen van feiten, gebeurtenissen en omstandigheden die objectiveerbaar zijn. Dit geldt voor rapportages maar ook voor de verzoekschriften. De besluitvorming in de rapportage dient te zijn onderbouwd, waarbij feiten, visies van betrokkenen en de interpretaties van de gecertificeerde instelling duidelijk zijn gescheiden.17 Zie bijlage I bij de toelichting op het privacyreglement voor een nadere uitwerking van deze bepaling. Artikel 8. Grondslag voor de verwerking van persoonsgegevens 1. Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking van de hem betreffende gegevens zijn ondubbelzinnige toestemming heeft verleend;

b. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de gecertificeerde instelling onderworpen is;

c. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

d. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

e. de gegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de gecertificeerde instelling of van een derde aan wie de gegevens worden verstrekt, tenzij het belang van de betrokkene op bescherming van de persoonlijke levenssfeer prevaleert.

17 Tweede Kamer, vergaderjaar 2013–2014, 33 684, nr. 32

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

20

Page 21: Privacyreglement Gecertificeerde Instelling versie 2.0

2. De gecertificeerde instelling kan zonder toestemming van de cliënt persoonsgegevens

verwerken, indien dit voor de uitoefening van de taken genoemd in artikel 3 onder sub a en b van dit reglement noodzakelijk is te achten.

3. Verwerken van persoonsgegevens bij de uitoefening van de taken als genoemd in artikel 3 sub c vindt alleen plaats met toestemming van de cliënt.

Toelichting In artikel 7 van dit reglement zijn de voorwaarden voor rechtmatige verwerking van persoonsgegevens opgenomen. Daarnaast dient er voor het verwerken van persoonsgegevens een wettelijke grondslag te zijn. Indien er geen sprake is van een grond zoals genoemd in artikel 8, dan is verwerking van persoonsgegevens niet toegestaan. De gronden zoals opgenomen in dit artikel zijn niet cumulatief. Indien bijvoorbeeld aan de grond zoals omschreven in sub c wordt voldaan, dan is daarnaast geen toestemming vereist op grond van sub a. Overigens is het wel aan te bevelen dat altijd wordt geprobeerd om toestemming van de betrokkene te verkrijgen voor de gegevensverwerking. Lid 1 a. In de toelichting op artikel 1 sub k van dit reglement wordt het begrip ‘toestemming’ nader uitgewerkt, evenals de wijze waarop de toestemming kan worden vastgelegd. Overigens is het van belang om goed na te gaan waarvoor toestemming wordt verleend. Indien de betrokkene bijvoorbeeld toestemming geeft voor het registreren van zijn persoonsgegevens, dan houdt dit niet in dat hij tevens toestemming voor verstrekking van persoonsgegevens aan derden heeft gegeven. b. De wettelijke verplichting tot het verstrekken van informatie bestaat bijvoorbeeld ten aanzien van de gemeente, Raad voor de Kinderbescherming en justitiële autoriteiten. Bij laatstgenoemde kan gedacht worden aan het informeren van de rechtbank. Onder gegevensverstrekking die noodzakelijk is om een wettelijke verplichting na te komen wordt tevens verstaan de verplichting om te voldoen aan een rechterlijk bevel. Dit houdt in dat indien de gecertificeerde instelling door de rechter wordt opgedragen om bepaalde informatie, zoals een rapportage te verstrekken, die verstrekking moet worden gezien als het voldoen aan een wettelijke verplichting. De gecertificeerde instelling kan namelijk alleen door middel van een rechterlijk bevel worden opgedragen om bepaalde informatie te verstrekken, indien zij deze informatie ook wettelijk gezien mag verstrekken. c. Gegevensverwerking is gerechtvaardigd indien de verwerking noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de betrokkene. Deze grond moet eng worden uitgelegd: er moet sprake zijn van een dringende medische noodzaak om de gegevens van de betrokkene zonder toestemming te verwerken. Voor de gecertificeerde instelling zal deze grond een uitzondering zijn aangezien zij voornamelijk op basis van een wettelijke verplichting of met toestemming gegevens verwerkt. d. Gegevensverwerking is toegestaan indien dit noodzakelijk is voor de uitoefening van een publiekrechtelijke taak. Publiekrechtelijke taken van de gecertificeerde instelling zijn bijvoorbeeld het verrichten van bepaalde handelingen binnen de uitvoering van de ondertoezichtstelling zoals het vaststellen of en zo ja welke jeugdhulp is aangewezen. Bij de uitvoering van deze taken kan de gecertificeerde instelling als bestuursorgaan worden aangemerkt aangezien zij voor de uitvoering hiervan met openbaar gezag is bekleed.18

18 Bij brief van 16 december 2014, geactualiseerd bij brief van 4 maart 2015, heeft de staatssecretaris van Veiligheid en Justitie bevestigd Bij brief van 16 december 2014, geactualiseerd bij brief van 4 maart 2015, heeft de staatssecretaris van Veiligheid en Justitie bevestigd dat een Gecertificeerde Instelling voor wat betreft de vier voornoemde taken in het kader van jeugdbescherming (lees: uitvoering van een kinderbeschermingsmaatregel) dient te worden aangemerkt als bestuursorgaan. Voorts heeft de staatssecretaris verklaard dat een GI een bestuursorgaan is voor de beslissingen als bedoeld in paragraaf 7.3 Jeugdwet (inzage in en het bewaren en vernietigen van bescheiden). Dit standpunt is ingenomen in verband met de vraag in hoeverre de gecertificeerde instelling toegang kan krijgen tot het BRP (voormalig GBA). Eerder hebben wetgevingsjuristen het standpunt ingenomen dat de gecertificeerde instelling voor wat betreft paragraaf 7.3 geen bestuursorgaan is.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

21

Page 22: Privacyreglement Gecertificeerde Instelling versie 2.0

e. Deze bepaling moet worden gezien als een ‘restbepaling’. Een gerechtvaardigd belang van de gecertificeerde instelling wordt aanwezig geacht indien de gegevensverwerking noodzakelijk is om de reguliere taken uit te kunnen oefenen. De gecertificeerde instelling dient hierbij wel een belangenafweging te maken, zoals blijkt uit de zinsnede ‘tenzij het belang van de betrokkene op bescherming van de persoonlijke levenssfeer prevaleert’. De belangen van de gecertificeerde instelling worden dan afgewogen tegenover de belangen van de betrokkene. De mate van gevoeligheid van de gegevens die de gecertificeerde instelling wil verwerken alsmede de maatregelen die de gecertificeerde instelling heeft genomen om rekening te houden met de belangen van de betrokkene spelen hierbij een rol. Lid 2 De bepaling in dit lid is een concretisering van artikel 8 onder e van dit reglement. Het ‘gerechtvaardigd belang’ van de gecertificeerde instelling met betrekking tot de uitoefening van de kinderbeschermingsmaatregelen en het uitvoeren van de maatregel van jeugdreclassering, is hierin gelegen dat de verwerking voor de gecertificeerde instelling noodzakelijk is om deze wettelijke taken te kunnen verrichten. Deze bepaling maakt het mogelijk dat de gecertificeerde instelling bij de uitoefening van deze specifieke taken zonder toestemming van de betrokkene persoonsgegevens kan verwerken indien dit voor de uitoefening van deze taken noodzakelijk is te achten (artikel 7.3.8 Jw). De grondslag voor het verwerken van persoonsgegevens voor de gecertificeerde instelling bij de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering is de dossierplicht als bedoeld in artikel 7.3.8 Jw.19 Ingevolge artikel 2.4, tweede lid Jw is het college ten behoeve van een jeugdige die zijn woonplaats heeft binnen zijn gemeente verantwoordelijk voor de uitvoering van de kinderbeschermingsmaatregelen en de jeugdreclassering. Het uitvoeren van de kinderbeschermingsmaatregelen en jeugdreclassering is daarmee een publiekrechtelijke taak, welke taak feitelijk door de gecertificeerde instelling wordt uitgevoerd op basis van een contract met de gemeente. Lid 3 Voor zover de gecertificeerde instelling taken voorafgaand aan of als nazorg na een maatregel uitvoert, is uitgangspunt dat er toestemming van de cliënt nodig is voor het verwerken van persoonsgegevens. Echter de vraag is of in het zogenaamde ‘drang’ kader wel altijd sprake kan zijn van toestemming als bedoeld in artikel 1 sub l van dit reglement en daarmee de toestemming een grondslag voor gegevensverwerking kan zijn. Als grondslag voor de verwerking van persoonsgegevens kan in ieder geval worden gezien artikel 7.4.1, tweede lid Jw. De gemeente is op grond van artikel 2.3 Jw verantwoordelijk voor de toegang en toeleiding tot jeugdhulp en in artikel 7.4.1, tweede lid Jw is bepaald dat ten behoeve van deze taak gegevens worden verwerkt. De GI kan door de gemeente worden ingezet als deskundige hierbij en voert deze taak uit op basis van een contract met de gemeente.20 Verder is in dit reglement er voor gekozen de bepalingen inzake dossierplicht, inzage en toestemming zoals bepaald in de Jeugdwet ook van toepassing te verklaring op de verslaglegging van de GI buiten het gedwongen kader om nu deze bepalingen een nadere uitwerking vorming van vergelijkbare bepalingen in de Wbp en daarmee meer/een duidelijkere rechtsbescherming biedt.21 Artikel 9. Verwerking van bijzondere persoonsgegevens 1. Behoudens het bij of krachtens wet bepaalde is verwerking van bijzondere persoonsgegevens

verboden. 2. De gecertificeerde instelling kan zonder toestemming van de betrokkene bijzondere

persoonsgegevens verwerken bij de uitoefening van de taken genoemd in artikel 3 onder sub a en b.

3. De gecertificeerde instelling gebruikt het BSN van een jeugdige met het doel te waarborgen dat de in het kader van de uitvoering van de Jeugdwet en de daarop rustende bepalingen te verwerken persoonsgegevens op de jeugdige betrekking hebben.

4. Op het verwerken van bijzondere persoonsgegevens is artikel 7, derde lid, van dit reglement van overeenkomstige toepassing.

19 Zie de folder ‘Stelselwijziging Jeugd. Privacy Informatie Folder’, september 2014’, te vinden op www.voordejeugd.nl 20 Zie ook hier de folder ‘Stelwijziging Jeugd. Privacy Informatie Folder’, september 2014. 21 Zie ook de kamerstukken Eerste Kamer, vergaderjaar 2013-2014, 33 684, F pagina 3 e.v.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

22

Page 23: Privacyreglement Gecertificeerde Instelling versie 2.0

Toelichting De grondgedachte is dat verwerking van bijzondere persoonsgegevens verboden is gezien het gevoelige karakter van deze persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens met betrekking tot iemands godsdienst of levensovertuiging, ras, politieke gezindheid en gezondheid. Slechts in bepaalde, bij wet genoemde gevallen, is uitzondering op dit verbod mogelijk. Anders dan in de Wjz is in de Jeugdwet niet expliciet benoemd dat en in welke situatie de gecertificeerde instelling bijzondere persoonsgegevens mag verwerken. In artikel 7.8.3 Jw is echter wel bepaald dat de gecertificeerde instelling een dossier dient in te richten en dat en hier zodanige gegevens in opneemt voor zover dit voor een goede hulpverlening aan de betrokkene noodzakelijk is.22 Daarnaast is in artikel 21, eerste lid onder sub d, Wbp bepaald dat de gecertificeerde instelling medische gegevens mag verwerken voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken en biedt ook artikel 21, derde lid, Wbp een grondslag voor het verwerken van bijzondere persoonsgegevens. Daarnaast kan de gecertificeerde instelling bijvoorbeeld op grond van de artikelen 7.4.3 jo 7.4.4., tweede lid Jw bijzondere persoonsgegevens verstrekken aan het college en Onze Ministers ten behoeve van gegevensverwerking ten behoeve van de beleidsinformatie en de toegang.23 In de Jeugdwet is bepaald dat de gecertificeerde instelling het BSN dient te gebruiken om te waarborgen dat de te verwerken persoonsgegevens betrekking op de jeugdige hebben. Het BSN valt onder de definitie van bijzondere persoonsgegevens. Artikel 10. Verwerking van persoonsgegevens met gebruik van audio/visuele hulpmiddelen Verwerking van persoonsgegevens door de gecertificeerde instelling in het kader van uitvoering van de taken als bedoeld in artikel 3 met gebruik van audio/visuele hulpmiddelen vindt alleen plaats indien de cliënt hiervoor toestemming heeft verleend. Toelichting Voorbeelden van ongeoorloofde gegevensverwerking zijn praktijken waarbij onopgemerkt gegevens over personen worden vergaard en verwerkt, al dan niet met behulp van technische hulpmiddelen. Zo verbieden de artikelen 139a en verder van het Wetboek van Strafrecht het gebruik van verborgen camera’s en het illegaal afluisteren van gesprekken. De gecertificeerde instelling heeft daarom toestemming van de betrokkene(n) nodig voor deze handelingen, zoals bij het gebruik van een one–way-screen.24

22 Zie ‘Stelselwijziging Jeugd, Privacy Informatie Folder’, september 2014 en kamerstukken 33684 Memorie van Antwoord op het voorlopig verslag inzake de Jeugdwet, pagina 105 e.v.

23 Zie kamerstukken Eerste Kamer, vergaderjaar 2013-2014, 33 684 F pagina 7 e.v. 24 Voor wat betreft het maken van opnamen door cliënten, zie het rapport van de Nationale Ombudsman, Spelregels voor het maken van geluidsopnamen, rapport 2014-166. De gecertificeerde instelling zal moeten bekijken hoe hier invulling aan wordt gegeven.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

23

Page 24: Privacyreglement Gecertificeerde Instelling versie 2.0

3. Inzage, afschrift en correctie

Algemeen Een belangrijk uitgangspunt voor de hulpverlening, ook in het gedwongen kader, is openheid naar de cliënt. Een belangrijk onderdeel van deze openheid is het recht dat iedereen heeft om na te kunnen gaan of er gegevens over hem/haar worden verwerkt. Deze paragraaf is alleen van toepassing indien iemand inzage krijgt in zijn eigen gegevens. Indien iemand informatie krijgt over gegevens van een ander, dan is het inzagerecht niet van toepassing, maar valt dit onder ‘derdenverstrekking’ (artikel 15).Zie voor een uitzondering hierop hieronder artikel 11, derde lid. Paragraaf 7.3 Jeugdwet bevat bepalingen over het toestemmingsvereiste, het dossier en de bescherming van de privacy. Hieruit volgen verplichtingen voor de medewerker jegens de cliënt met wie zij te maken hebben bij de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. Deze regels zien op de relatie tussen de medewerker en jeugdigen en ouders. Daarnaast is als het gaat om een verzoek om correctie de Wet bescherming persoonsgegevens (Wbp) van toepassing. De Wbp richt zich, in tegenstelling tot voorgenoemde paragraaf 7.3 Jeugdwet, niet tot de medewerker maar tot de ‘verantwoordelijke’ zijnde de gecertificeerde instelling. Reden waarom in de navolgende artikelen de ene keer wordt gesproken over ‘de medewerker van de gecertificeerde instelling’ en de andere keer over ‘de gecertificeerde instelling’. Artikel 11. Inzage en afschrift voor de cliënt 1. De medewerker van de gecertificeerde instelling verstrekt aan de cliënt desgevraagd zo

spoedig mogelijk inzage in en afschrift van de bescheiden, die betrekking hebben op de cliënt zelf.

2. Inzage in of afschrift van de bescheiden wordt aan de cliënt geweigerd, indien deze: a. jonger is dan twaalf jaren, of b. de leeftijd van twaalf jaren heeft bereikt en niet in staat kan worden geacht tot een

redelijke waardering van zijn belangen ter zake. 3. Indien de cliënt jonger is dan zestien jaar, of de leeftijd van zestien jaar heeft bereikt en niet

in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, worden desgevraagd aan de wettelijke vertegenwoordiger of de schriftelijke gemachtigde van de jeugdige vanaf achttien jaar die niet in staat is tot een redelijke waardering van zijn belangen terzake inlichtingen dan wel inzage in of afschrift van de bescheiden verstrekt. Indien ten aanzien van de laatst genoemde jeugdige een gemachtigde ontbreekt, dan gelden de verplichtingen ten aanzien van de jeugdige in dit reglement jegens de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt in welke geval de verplichtingen jegens een ouder, kind, broer of zus van de jeugdige gelden, tenzij deze persoon dat niet wenst.

4. Inlichtingen over, inzage in of afschrift van bescheiden kan eveneens worden geweigerd: a. voor zover de persoonlijke levenssfeer van een ander daardoor zou worden geschaad of b. indien de medewerker van de gecertificeerde instelling hierdoor niet geacht kan worden

de zorg van een goed hulpverlener in acht te nemen.25 5. De in het dossier aanwezige originele bescheiden blijven in het bezit van de gecertificeerde

instelling. 6. Persoonlijke werkaantekeningen en rapporten die in bewerking zijn, zijn geen onderdeel van

het dossier en derhalve niet ter inzage. Toelichting Lid 1 Een medewerker van de gecertificeerde instelling zal normaal gesproken gedurende de uitvoering van de maatregel de dossierstukken met de cliënt bespreken. Meestal krijgt de cliënt ook een kopie van deze stukken. Maar een cliënt kan ook zelf vragen om inzage in en een afschrift van zijn dossierstukken. De gecertificeerde instelling moet, indien een cliënt daar om vraagt, zo spoedig mogelijk inzage en afschrift van de dossierstukken geven die betrekking hebben op deze

25 Zie artikel 7.3.11 lid 3 jo 4.1.1 lid 3 Jw

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

24

Page 25: Privacyreglement Gecertificeerde Instelling versie 2.0

cliënt. De cliënt heeft slechts recht op de gegevens die hemzelf betreffen. Dat wil zeggen dat een ouder slechts recht heeft op gegevens over hem zelf en niet van bijvoorbeeld de andere ouder. Iemand die inzage heeft gekregen in zijn persoonsgegevens, heeft ook recht op een afschrift van deze gegevens. Kort gezegd: ‘recht op inzage is recht op afschrift’. Als uitgangspunt kan worden genomen dat het ‘zo spoedig mogelijk’ verlenen van inzage/afschrift binnen vier weken is.26 De gecertificeerde instelling moet een weigering gemotiveerd en schriftelijk melden aan de cliënt. Ook als een verzoek niet binnen vier weken kan worden afgehandeld, dient dit gemotiveerd aan de cliënt te worden meegedeeld. Inzage en afschrift van dossierstukken zijn belangrijke rechten van cliënten. Het kan echter voorkomen dat een cliënt misbruik van zijn rechten maakt. Mocht een cliënt meer dan gemiddeld en meer dan noodzakelijk om inzage vragen, dan kan de gecertificeerde instelling inzage weigeren.27 Welke gegevens hebben ‘betrekking op de cliënt zelf’? Een cliënt heeft alleen recht op inzage in zijn eigen gegevens. Het moet dus gaan om gegevens die informatie bevatten over de betreffende cliënt. Dit betekent dat indien vader informatie over moeder verstrekt, dit gegevens zijn die betrekking hebben op moeder en waar moeder dus in principe inzage in heeft. Wel kan het verstrekken van gegevens aan moeder in bepaalde gevallen de persoonlijke levenssfeer van vader schaden (zie de toelichting bij artikel 11 lid 4). Welke gegevens vallen onder het inzagerecht? In principe vallen alle persoonsgegevens die de cliënt betreffen onder het inzagerecht. Dit betekent zowel de gegevens in de computer als de schriftelijke stukken waarin persoonsgegevens over de cliënt verwerkt zijn. Hieronder valt ook het contactjournaal. Het opbergen van stukken buiten het officiële cliëntdossier of de computer betekent geenszins dat deze gegevens niet onder de inzageregels zouden vallen. Waar iets wordt opgeborgen maakt niet uit: als een stuk persoonsgegevens bevat, behoort dit tot het dossier en valt dit stuk derhalve onder het inzagerecht. Er zijn twee uitzonderingen: persoonlijke werkaantekeningen en rapporten die nog in bewerking zijn, zijn geen onderdeel van het dossier en zijn daarom niet ter inzage (zie de toelichting bij artikel 11 lid 6). Zodra de gecertificeerde instelling een rapportage van een derde ontvangt (zoals rapportage van jeugdhulpaanbieder of externe (forensische) psychologische/psychiatrische onderzoeken) wordt deze informatie onderdeel van het cliëntdossier en valt deze onder de privacyregels van de gecertificeerde instelling. Een cliënt heeft daarom in principe ook recht op inzage in deze gegevens, voor zover deze hemzelf betreffen. Degene die het rapport heeft geschreven verliest daarmee feitelijk de zeggenschap over de gegevens. Het is daarom van belang dat de medewerker van de gecertificeerde instelling degene die de rapportage opstelt, wijst op de privacyregels van de gecertificeerde instelling. Als het rapport informatie bevat die niet aan betrokkenen ter kennis mag komen, dan doet de opsteller van het rapport er goed aan hiervoor nadrukkelijk aandacht te vragen. Op de medewerker van de gecertificeerde instelling rust vervolgens de plicht om hier zorgvuldig mee om te gaan (zie de toelichting bij artikel 11 lid 4). Lid 2 Als de cliënt jonger dan twaalf jaar is, heeft hij geen recht op inzage in zijn eigen gegevens.28 Vanaf twaalf jaar heeft de jeugdige wel recht op inzage in zijn eigen gegevens, tenzij hij ‘niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake’. Het is aan de hulpverlener om dit te beoordelen. De mening van de ouders kan daarbij meewegen, maar is niet doorslaggevend. De wils(on)bekwaamheid van een jeugdige kan worden vastgesteld door ‘waarneming van de totale geestelijke toestand’ van de jeugdige. Of een jeugdige in staat is tot een redelijke waardering van zijn belangen is afhankelijk van zijn cognitieve ontwikkelingsniveau, zijn persoonlijkheidsontwikkeling en zijn psychisch functioneren.29 Daarbij moet in het oog worden gehouden dat het niet gaat om een al gehele wils(on)bekwaamheid, maar dat er een

26 Analoog aan artikel 3 Wbp. 27 Analoog aan artikel 35 lid 1 Wbp. 28 Dit betekent overigens geenszins dat een hulpverlener helemaal geen informatie aan een jeugdige mag geven. De jeugdige onder de twaalf heeft geen eigen recht op inzage, maar de hulpverlener behoort de cliënt jonger dan twaalf wel conform zijn beoordelingsvermogen bij de hulpverlening te betrekken. 29 Dr. J. Huisman, universitair hoofdspecialist VUMC, noemt deze criteria in zijn bijdrage, getiteld ‘Beoordeling van de keuze van jeugdige met betrekking tot ingrijpende medische beslissingen’, aan de expertmeeting op 7 november 2003 van het ACK ‘Autonomie en bescherming van jeugdigen bij medische beslissingen’.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

25

Page 26: Privacyreglement Gecertificeerde Instelling versie 2.0

duidelijke relatie met het specifiek onderwerp moet zijn: kan deze jeugdige de gevolgen van het verkrijgen van deze informatie hanteren? Het is denkbaar dat de gecertificeerde instelling informatie heeft over een jeugdige cliënt of over zijn ouders die de jeugdige beter niet te weten kan komen. Denk bijvoorbeeld aan afstammingsgegevens, waarbij de timing voor het verstrekken van dit soort informatie vaak nogal nauw luistert. Per geval zal een beslissing genomen moeten worden of de informatie wordt verstrekt. Mening minderjarige verzoekschriften In artikel 799 lid 2 Rv is bepaald dat in verzoekschriften die betrekking op de ondertoezichtstelling ( (verlenging) ots, (verlenging) machtiging tot uithuisplaatsing, gedeeltelijke gezagsuitoefening bij een uithuisplaatsing, vervangende toestemming medische behandeling, toestemming wijziging verblijf, beëindiging gezag en verzoeken gezagsherstel) wordt vermeld op welke wijze de inhoud dan wel de strekking van het verzoekschrift is besproken met de minderjarige en welke reactie de minderjarige hierop heeft gegeven. Hierbij gaat het ook om minderjarigen jonger dan 12 jaar. Hoewel de minderjarige jonger dan 12 jaar geen recht op inzage in zijn dossier, dient met deze minderjarige dus wel op een bij de leeftijd passende manier te worden gesproken over verzoeken die aan de rechtbank worden gedaan. Lid 3 De enige uitzondering die wordt gemaakt op de regel dat iemand alleen recht heeft op inzage in zijn eigen gegevens, is inzage door de wettelijk vertegenwoordiger bij jeugdigen jonger dan 16 jaar of jeugdigen van 16 jaar en ouder die niet in staat kunnen worden geacht tot een redelijke waardering van hun belangen ter zake. (zie artikel 1 onder sub m voor de definitie van wettelijk vertegenwoordiger) Of de schriftelijke gemachtigde van de jeugdige vanaf achttien jaar die niet in staat is tot een redelijke waardering van zijn belangen terzake. Indien ten aanzien van de laatst genoemde jeugdige een gemachtigde ontbreekt, dan gelden de verplichtingen ten aanzien van de jeugdige in dit reglement jegens de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt in welke geval de verplichtingen jegens een ouder, kind, broer of zus van de jeugdige gelden, tenzij deze persoon dat niet wenst. Indien ten aanzien van de jeugdige een gemachtigde ontbreekt, dan gelden de verplichtingen ten aanzien van de jeugdige in dit reglement jegens de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt in welke geval de verplichtingen jegens een ouder, kind, broer of zus van de jeugdige gelden, tenzij deze persoon dat niet wenst (artikel 7.3.15 Jw). Informatieverstrekking aan ouders over een wilsbekwame cliënt van zestien jaar en ouder valt niet onder de inzageregels, maar onder de regels voor derdenverstrekking. Ook het verstrekken van informatie aan een ouder die niet met het gezag is belast valt onder derdenverstrekking (zie hierover artikel 15). Lid 4 Sub a: Weigering van het geven van (bepaalde) informatie is mogelijk als door het verstrekken ervan de persoonlijke levenssfeer (privacy) van een derde zou worden geschaad. Belangen van derden kunnen op twee manieren in het geding zijn: 1. Een schriftelijk stuk kan informatie bevatten over anderen dan degene die inzage vraagt:

In de cliëntdossiers komen naast de gegevens van de cliënt ook gegevens van anderen voor. Het gaat dan om de jeugdige en zijn ouders, maar ook regelmatig om stiefouders, pleegouders, broers, zussen, grootouders, etc. Daarnaast heeft de gecertificeerde instelling ook contact met andere hulpverleners, met school, etc. De gegevens van de verschillende personen en instanties zijn vaak zo nauw met elkaar verbonden dat het scheiden van de gegevens niet mogelijk en niet wenselijk is. Door deze samenhang en het door elkaar lopen van de gegevens van de verschillende personen, is het moeilijk om iedere persoon apart inzage te verlenen in zijn eigen gegevens, zonder dat daarbij gegevens van anderen worden prijsgegeven. Dit gemengde karakter van de dossiers brengt met zich mee dat soms weigering van inzage ter bescherming van anderen dan de cliënt nodig kan zijn. Als gegevens van bijvoorbeeld andere gezinsleden dermate verweven zijn met de gegevens van de cliënt dat zij moeilijk te scheiden zijn, dan worden zij geacht de cliënt zelf te betreffen en niet de ‘derde’. Anders ligt het voor gegevens die dermate los staan van de cliënt, dat er sprake is van ‘voldoende zelfstandigheid’. De hulpverlener moet in dat geval afwegen of de persoonlijke levenssfeer van de derde zou worden geschaad, als inzage wordt verleend aan de cliënt. De belangen van de diverse personen moeten tegen elkaar worden afgewogen. Vervolgens wordt bepaald of de cliënt inzage krijgt in (een gedeelte van)

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

26

Page 27: Privacyreglement Gecertificeerde Instelling versie 2.0

het dossier. Het belang van de jeugdige staat daarbij uiteraard voorop. Als de ander, op wie de persoonsgegevens betrekking hebben, toestemming geven, kan inzage worden verschaft. Deze persoon kan zich echter niet altijd op schending van zijn privacy beroepen en op die manier de inzage van de cliënt blokkeren. Uitgangspunt blijft namelijk openheid naar de cliënt toe. Alleen indien het belang van de ander dan de cliënt zwaarwegend is, moet de hulpverlener inzage aan de cliënt weigeren.

2. Een informant kan belang hebben bij het feit dat niet bekend wordt dat hij die informatie heeft verstrekt. In bepaalde gevallen kan iemand die informatie aan de gecertificeerde instelling heeft verstrekt, er belang bij hebben dat niet bekend wordt dat de informatie van hem afkomstig is. Het kan zowel gaan om informatie van particulieren als van beroepskrachten. Uitgangspunt blijft ook hier openheid naar de cliënt. In principe zal voor beroepskrachten eerder gelden dat zij niet anoniem informatie kunnen verstrekken.30 Het is wel van belang dat een hulpverlener van de gecertificeerde instelling vooraf aan de informant meldt dat de informatie in principe wordt besproken met de jeugdige en/of zijn wettelijk vertegenwoordiger.

Sub b: Weigering van het geven van (bepaalde) informatie is eveneens mogelijk als de medewerker hierdoor niet geacht worden de zorg van een goed hulpverlener in acht te nemen. Deze weigeringsgrond is ten opzichte van de Wjz nieuw. Zie in dit verband ook artikel 4.1.1 lid 3 Jw waarin is bepaald dat de hulpverlener bij zijn werkzaamheden de zorg van een goede hulpverlener in acht neemt en daarbij handelt in overeenstemming met de op hem rustende verantwoordelijkheid, voortvloeiende uit de voor die hulpverlener geldende professionele standaard. Hiermee wordt bedoeld de beroepscode waaraan de geregistreerde medewerker zich middels registratie heeft verbonden.31 Wanneer kan er sprake zijn van deze weigeringsgrond? Te denken valt hierbij aan de situatie dat een medewerker van mening is dat het belang van de jeugdige zich tegen informatieverstrekking aan bijvoorbeeld de ouder met gezag verzet. In de Wjz was ‘tenzij het belang van de jeugdige zich er tegen verzet’ expliciet als weigeringsgrond om informatie aan de wettelijk vertegenwoordiger te verstrekken opgenomen. In de Jeugdwet komt deze weigeringsgrond niet terug, maar het belang van de jeugdige dient nog wel steeds afgewogen te worden (zie ook artikel 3 IVRK). De medewerker van de gecertificeerde instelling kan tot de conclusie komen dat het belang van de jeugdige door de informatieverstrekking kan worden geschaad. Het gaat dan bijvoorbeeld om een situatie waarin het onmiddellijk verstrekken van informatie over de jeugdige met zich mee kan brengen dat de wettelijk vertegenwoordiger de jeugdige onttrekt aan de nodige zorg. Daarnaast kan het gaan om gevallen waarin gevreesd moet worden voor het toebrengen van psychische schade aan de jeugdige. Ook komt het voor dat het verstrekken van informatie de vertrouwensband tussen de jeugdige en de medewerker ernstig zou schaden. Een jeugdige moet aan de medewerker vrijelijk zijn gevoelens kunnen uiten. Dit is alleen mogelijk indien ouders niet automatisch kennis nemen van alles wat een jeugdige aan de medewerker vertelt.32 Het hardnekkig verzetten van een jeugdige tegen informatieverstrekking, kan een reden zijn om informatie te weigeren aan de ouders. Zeker indien de jeugdige al twaalf jaar of ouder is, dient

30 De regeling voor het verstrekken van inlichtingen over de herkomst van persoonsgegevens van een melding bij het AMHK zou hierbij analoog kunnen worden toegepast. Zie hiervoor artikel 4.1.5, lid 3 Uitvoeringsbesluit Wmo 2015. Vergelijk ook de uitspraak van het Europese Hof voor de Rechten van de Mens in Straatsburg in de zaak Gaskin (EHRM 7 juli 1989, NJ 1991, 659). Het Europese Hof oordeelde dat het inzagerecht beperkt kan worden ter bescherming van de rechten van derden. 31 Zie o.a. artikel Beroepscode voor de jeugdzorgwerker, eerste uitgave 2012 32 Vergelijk Hoge Raad 25 juni 1993, NJ 1994, 140 (“Poppenmethode” De Bolderkar). Een vader met gezag vorderde in deze zaak afgifte van het verslag van het speldiagnostisch interview dat met zijn dochter van destijds vier jaar oud was gehouden. Op basis van dit onderzoek heeft de instelling vervolgens aangifte tegen vader gedaan van het plegen van ontucht met zijn dochter. De Hoge Raad oordeelde in deze zaak dat het Hof terecht tegen elkaar had afgewogen het door de vader aangevoerde opvoedingsbelang en het belang van de jeugdige bij bescherming van haar persoonlijke levenssfeer, ‘aan welk laatste belang een hoge mate van bescherming toekomt nu het hier gaat om gegevens van een zeer intiem karakter’. In dit geval was het belang van de bescherming van de persoonlijke levenssfeer van het meisje doorslaggevend en kreeg de vader geen inzage.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

27

Page 28: Privacyreglement Gecertificeerde Instelling versie 2.0

zijn mening zeer serieus genomen te worden. Aan de andere kant moeten ouders wel zodanig geïnformeerd worden dat zij hun taak als opvoeder kunnen waarmaken. Een medewerker zal daarom een afweging moeten maken tussen het belang van geheimhouding voor de jeugdige en het belang van informatieverstrekking voor de ouder. Soms kan het onwenselijk zijn om de wettelijk vertegenwoordiger inzage te verlenen, maar is het wel mogelijk om hem/haar in een gesprek enige informatie te verschaffen. De vraag of een ouder de dagelijkse verzorging heeft over de jeugdige, kan bij het maken van de afweging of informatieverstrekking aan de ouder met gezag niet verenigbaar is met de zorg van een goed jeugdhulpverlener een rol spelen. Een medewerker kan er ook voor kiezen om bepaalde informatie niet onmiddellijk aan de wettelijk vertegenwoordiger te verstrekken. Zodra de dreiging voor de jeugdige is geweken, kunnen de inlichtingen dan alsnog worden verstrekt. Het is gezien bovenstaande spanning tussen de belangen van de jeugdige en de wettelijk vertegenwoordiger, verstandig dat een medewerker van de gecertificeerde instelling - indien mogelijk - met een jeugdige afspreekt dat er altijd met hem zal worden overlegd of, en zo ja op welke wijze, de wettelijk vertegenwoordiger wordt geïnformeerd en deze afspraak (schriftelijk) vastlegt in het dossier. Lid 5 Een cliënt of andere betrokkene heeft geen recht op afgifte van de originele stukken, maar ontvangt kopieën van die stukken (afschriften). Lid 6 Persoonlijke werkaantekeningen van de medewerker, die dienen als geheugensteun voor de eigen gedachtevorming, zijn niet ter inzage. Het gaat dan om indrukken, vermoedens of vragen die bij de hulpverlener leven. Een medewerker moet in alle vrijheid zijn gedachten en ideeën in het kader van het hulpverleningsproces op papier kunnen zetten, om op basis daarvan een definitief rapport op te stellen. Dat rapport is uiteraard ter inzage, maar de daaraan ten grondslag liggende subjectieve werkaantekeningen en conceptversies van het rapport niet. Deze aantekeningen zijn strikt persoonlijk en mogen niet worden verstrekt aan derden. 33 Persoonlijke werkaantekeningen mogen geen schaduwdossier worden. 34 Zodra het mogelijk is om de werkaantekeningen in het officiële dossier op te nemen of wanneer deze niet meer relevant zijn, moeten de werkaantekeningen worden vernietigd. Over de vraag of persoonlijke werkaantekeningen wel of geen onderdeel van het dossier uitmaken bestaat wel eens discussie. In een uitspraak van de Raad van State van 26 maart 2008 oordeelde de Raad dat het beleid van het door de Raad voor de Kinderbescherming gevoerde beleid "Normen 2000" dat werkaantekeningen geen deel uit van de dossiers uitmaken en deze na afronding van het onderzoek vernietigd worden, gelet op de aard en de functie van de aantekeningen en het feit dat deze hun neerslag vinden in de op te stellen rapportage, die deel uitmaakt van het dossier en ter inzage is gegeven, niet onrechtmatig is. Er is derhalve geen grond voor het oordeel dat de werkaantekeningen zich in het dossier behoorden te bevinden, aldus de Raad van State35.

Artikel 12. Kennisneming door een betrokkene niet zijnde de cliënt 1. Indien, in het kader van de uitoefening van de taken als bedoeld in artikel 3, in het dossier

van deze cliënt persoonsgegevens worden verwerkt van een betrokkene, niet zijnde de cliënt, dan deelt de gecertificeerde instelling de betrokkene desgevraagd mede of hem betreffende persoonsgegevens worden verwerkt in het dossier van een cliënt, voor zover de

33 Zie Hoge Raad 24 januari 2003, LJN-nummer: AF0148, Zaaknr.: C01/143HR. De Hoge Raad oordeelde in deze zaak dat noch aan artikel 6 en 8 EVRM noch aan artikel 1:377c BW een inzagerecht kan worden ontleend in uitsluitend voor persoonlijk gebruik gemaakte aantekeningen, die niet zijn bedoeld om onder ogen van derden te komen en ook niet onder ogen van derden (in dit geval de klachtencommissie) zijn gekomen. Overigens gaat het bij ‘derden’ ons inziens niet om intern overleg met directe collega’s. Dit interne overleg over persoonlijke opvattingen is naar onze mening wel mogelijk (vergelijk ook artikel 11 van de Wet openbaarheid bestuur, waarin wordt bepaald dat geen informatie wordt verstrekt over persoonlijke beleidsopvattingen, vermeld in documenten ten behoeve van intern beraad). 34 Zie ‘Omgang met cliëntgegevens in de jeugdzorg’, Ministerie van Volksgezondheid, Welzijn en Sport, september 2003. 35 Raad van State, 26 maart 2008,ECLI:NL:RVS:2008:BC7603

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

28

Page 29: Privacyreglement Gecertificeerde Instelling versie 2.0

geheimhoudingsplicht in het kader van de uitoefening van de taken daaraan niet in de weg staat.

2. Indien de betrokkene, niet zijnde de cliënt, een verzoek doet op grond van lid 1, dient hij de naam te noemen van de jeugdige, op wiens naam het dossier geregistreerd staat, en dient hij zich te legitimeren.

Toelichting Lid 1 Ook een ander dan de cliënt (bijvoorbeeld een niet verzorgende ouder zonder gezag) heeft het recht om aan de gecertificeerde instelling te vragen of hem betreffende gegevens worden verwerkt. Vragen staat vrij, maar de gecertificeerde instelling heeft wel een geheimhoudingsplicht. Om die reden is het geven van inzage aan een betrokkene, niet zijnde de cliënt, alleen toegestaan, indien de geheimhoudingsplicht in het kader van de uitoefening van de taken daaraan niet in de weg staat. Dit betekent dat de gecertificeerde instelling alleen informatie mag verstrekken, als de privacy van de cliënt niet wordt geschonden. Als bijvoorbeeld een buurman vraagt of hij voorkomt in het dossier van zijn buurjongen, kan alleen de simpele mededeling van de gecertificeerde instelling dat dit wel of niet zo is, in bepaalde gevallen de privacy van de cliënt schenden. Op die manier kan de buurman er namelijk achter komen of zijn buren hulpverlening krijgen van de gecertificeerde instelling, terwijl hij daar (normaal gesproken) niets mee te maken heeft. Maar als bijvoorbeeld pleegouders vragen wat er over hen staat vermeld in het dossier van de cliënt, dan hebben zij in beginsel wel recht op inzage in hun eigen gegevens. De gegevens van de pleegouders moeten dan wel ‘voldoende zelfstandigheid’ bezitten. Dit betekent dat deze gegevens dermate los staan van de gegevens van de cliënt dat zij hiervan te scheiden zijn. Aan de pleegouders wordt in dat geval alleen inzage in hun eigen gegevens verstrekt. Op grond van de belangenafweging die de gecertificeerde instelling maakt, zal dus moeten worden bezien of inzage aan de betrokkene, niet zijnde de cliënt, kan worden toegestaan. De mededeling of er persoonsgegevens worden verwerkt met betrekking tot de betrokkene, moet worden gedaan conform de vereisten van artikel 35 lid 2 tot en met 4 Wbp. Indien het geven van inzage niet in strijd is met de geheimhoudingsplicht, verstrekt de gecertificeerde instelling aan de verzoeker een volledig overzicht van de persoonsgegevens die de verzoeker betreffen. Daarnaast behoort de gecertificeerde instelling informatie te verstrekken over het doel, de aard van de gegevens en van de ontvangers, evenals over de herkomst van de gegevens. Indien een derde, van wie de informatie afkomstig is, naar verwachting bedenkingen zal hebben tegen de informatieverstrekking, dient de gecertificeerde instelling de derde in de gelegenheid te stellen zijn bedenkingen naar voren te brengen (tenzij dit onmogelijk is of een onevenredige inspanning kost). Lid 2 Om te voorkomen dat iemand door het gebruik van een naam van een ander gegevens over deze persoon verkrijgt, moet de gecertificeerde instelling de identiteit van de verzoeker vaststellen. Het noemen van de naam van de jeugdige heeft zowel betrekking op het praktische argument dat het dossier op naam van de jeugdige staat als op het privacy-aspect. Artikel 13. Kosten van afschrift 1. Voor de verstrekking van een afschrift conform artikel 11, dan wel een overzicht van de

gegevensverwerking conform artikel 12 van dit reglement, kan een vergoeding worden gevraagd.

2. De vergoeding voor de verstrekking van een afschrift bedraagt € 0,23 per pagina met een maximum van € 5,00.

3. In afwijking van lid 2 mag de gecertificeerde instelling een redelijke vergoeding in rekening brengen met dien verstande dat deze ten hoogste € 22,50 bedraagt in het geval dat het afschrift bestaat uit meer dan honderd pagina’s.

Toelichting De gecertificeerde instelling kan voor de verstrekking van een afschrift een vergoeding vragen. Voor een inzageverzoek mag een vergoeding van € 0,23 worden gevraagd met een maximum van € 4,50. Er is alleen een uitzondering gemaakt voor afschriften van meer dan honderd pagina’s of de mededeling bestaat uit een afschrift van een, vanwege de aard van de verwerking,

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

29

Page 30: Privacyreglement Gecertificeerde Instelling versie 2.0

moeilijk toegankelijke gegevensverwerking. In dat geval mag een redelijke vergoeding (dat wil zeggen kostprijs) worden gevraagd van maximaal € 22,50.36 De gecertificeerde instelling hanteert het volgende beleid: • 0-19 pagina’s: € 0,23 per pagina; • 20-100 pagina’s: € 5,00; • meer dan 100 pagina’s: kostprijs, met een maximum van € 22,50. Artikel 14. Recht op correctie 1. De betrokkene aan wie inzage is verleend dan wel mededeling is gedaan over zijn

persoonsgegevens, kan de gecertificeerde instelling schriftelijk verzoeken de hem betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.

2. Het verzoek bedoeld in lid 1 wordt door de wettelijk vertegenwoordiger gedaan, indien de betrokkene:

a. jonger is dan twaalf jaar, of b. de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke

waardering van zijn belangen terzake. 3. De gecertificeerde instelling bericht de verzoeker binnen vier weken na ontvangst van het

verzoek schriftelijk of dan wel in hoeverre hij aan het verzoek voldoet. Een weigering is met redenen omkleed.

Toelichting Lid 1 Nádat de betrokkene (cliënt of niet cliënt) inzage heeft gekregen, heeft hij het recht om de gecertificeerde instelling te verzoeken om de hem betreffende gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen, voorzover de persoonsgegevens: 1. feitelijk onjuist zijn (de werkelijkheid verkeerd weergeven); 2. onvolledig zijn (ontoereikend zijn om te kunnen voldoen aan het doel waarvoor zij volgens

artikel 6 van het privacyreglement worden verwerkt); 3. niet ter zake dienend zijn (in het geheel niet beantwoorden aan het doel waarvoor de

gegevens volgens artikel 6 van het privacyreglement worden verwerkt); 4. door de gecertificeerde instelling onrechtmatig (in strijd met de wet) worden verwerkt. Een verzoeker dient in het verzoek aan te geven welke wijzigingen dienen te worden aangebracht. Bij een verzoek vanwege de verwerking van onjuiste gegevens, zal de verzoeker concreet en onderbouwd moeten aangeven wat naar zijn oordeel wél een juiste weergave van de werkelijkheid is. Lid 2 Het correctierecht is niet in de Jeugdwet, maar uitsluitend in de Wbp geregeld. De Wbp hanteert andere leeftijdsgrenzen dan de Jeugdwet. Dit heeft tot gevolg dat correctieverzoeken op grond van de Wbp alleen kunnen worden gedaan door de wettelijk vertegenwoordiger indien de cliënt jonger dan zestien jaar is. Aangezien in de Jeugdwet de leeftijd van twaalf jaar uitgangspunt is voor het toekennen van bijvoorbeeld het recht op inzage en afschrift, is hier in het reglement bij aangesloten. Volgens het reglement kan een cliënt vanaf twaalf jaar zelf vragen om correctie van zijn gegevens. Is hij jonger dan twaalf jaar, dan dient dit verzoek door de wettelijk vertegenwoordiger te worden gedaan. Lid 3 Dat een betrokkene het recht heeft om een verzoek tot correctie in te dienen, wil niet zeggen dat dit verzoek door de gecertificeerde instelling gehonoreerd wordt. De gecertificeerde instelling moet binnen vier weken schriftelijk aan de betrokkene laten weten in welke mate aan het verzoek gehoor wordt gegeven (niet, gedeeltelijk of volledig). Hierbij dient de gecertificeerde instelling zich te houden aan de voorschriften van de artikelen 36 tot en met 39 Wbp. Dit betekent dat in het geval de gecertificeerde instelling besluit om gegevens te corrigeren, dit zo snel als redelijkerwijs mogelijk is, moet gebeuren. In het geval de gegevens om technische redenen niet

36 Zie artikel 1 en 2 Besluit kostenvergoeding rechten betrokkene Wbp

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

30

Page 31: Privacyreglement Gecertificeerde Instelling versie 2.0

kunnen worden gewijzigd, dan moet de betrokkene hierover geïnformeerd worden. Wel dient de gecertificeerde instelling te bezien of er geen aanvullende voorzieningen kunnen worden getroffen om toch bij later gebruik van de opgeslagen gegevens de gebruiker te voorzien van de juiste gegevens. Dit kan bijvoorbeeld door bij raadpleging van de gegevens de gebruiker steeds te wijzen op de noodzaak een aanvullend bestand te raadplegen waarin eventuele verbeteringen zijn opgenomen. Correctie hoeft dus niet in alle omstandigheden te betekenen dat de onjuist gebleken persoonsgegevens worden verwijderd of vernietigd, maar kan ook een verwijzing inhouden naar de visie van de betrokkene bij het betwiste stuk. Indien de gecertificeerde instelling tot correctie van de gegevens overgaat, is het de instelling verplicht om aan derden aan wie de gegevens eerder zijn verstrekt, zo spoedig mogelijk door te geven dat de gegevens zijn gecorrigeerd. Dit hoeft niet indien dit onmogelijk is of een ‘onevenredige inspanning’ kost. Indien de verzoeker daar om vraagt, meldt de gecertificeerde instelling hem aan welke derden de mededeling is gedaan. Indien een vergoeding voor inzage is gevraagd conform artikel 13 van dit reglement, dient dit bedrag te worden teruggegeven indien de gecertificeerde instelling op verzoek van de betrokkene tot verbetering, aanvulling, verwijdering of afscherming is overgegaan.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

31

Page 32: Privacyreglement Gecertificeerde Instelling versie 2.0

4. Derdenverstrekking Algemeen Uitgangspunt binnen de uitvoering van de taken als bedoeld in artikel 3 is de geheimhoudingsplicht die de medewerker heeft ten behoeve van zijn cliënt. Deze geheimhoudingsplicht houdt in dat de medewerker geen informatie aan derden geeft zonder uitdrukkelijke toestemming van de cliënt. Bij ‘derdenverstrekking’ kan gedacht worden aan informatieverstrekking aan andere (externe) hulpverleners, maar ook aan verstrekking van informatie aan ouders over hun kind dat 16 jaar of ouder is. Artikel 15. Derdenverstrekking 1. De medewerker van de gecertificeerde instelling verstrekt alleen met toestemming van de

cliënt inlichtingen over de cliënt, dan wel afschrift van de bescheiden, aan anderen dan de cliënt, tenzij bij of krachtens de wet anders is bepaald. Verstrekking mag verder alleen plaatsvinden voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. Verstrekking kan zonder inachtneming van het voorgaande plaatsvinden indien het bij of krachtens de wet bepaalde daartoe verplicht.

2. Indien de cliënt minderjarig is, is in plaats van diens toestemming de toestemming van zijn wettelijke vertegenwoordiger vereist, indien hij: a. jonger is dan twaalf jaren, of b. de leeftijd van twaalf jaren heeft bereikt en niet in staat kan worden geacht tot een

redelijke waardering van zijn belangen ter zake. 3. Indien de cliënt meerderjarig is en niet in staat kan worden geacht tot een redelijke

waardering van zijn belangen ter zake, is in plaats van diens toestemming de toestemming van de wettelijke vertegenwoordiger of de schriftelijke gemachtigde van deze cliënt vereist. Indien ten aanzien van de cliënt een gemachtigde ontbreekt, dan is de toestemming vereist van de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt in welke geval de verplichtingen jegens een ouder, kind, broer of zus van de jeugdige gelden, tenzij deze persoon dat niet wenst.

4. Onder anderen dan de cliënt is niet begrepen: a. degene die rechtstreeks betrokken is bij de uitvoering van de taken als bedoeld in artikel 3 en degene die optreedt als vervanger van de medewerker, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden, en b. de wettelijk vertegenwoordiger van de minderjarige cliënt dan wel de in lid 3 genoemde personen.

5. Indien de medewerker van de gecertificeerde instelling door het verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij het verstrekken achterwege. 37

6. Zonder toestemming van de cliënt kan de gecertificeerde instelling inlichtingen over de cliënt verstrekken aan de Raad voor de Kinderbescherming, indien dit noodzakelijk kan worden geacht voor de uitoefening van de taken van de Raad voor de Kinderbescherming.

7. Een jeugdige kan zonder toestemming van de jeugdige en/of diens wettelijk vertegenwoordiger en zo nodig met doorbreking van de geheimhoudingsplicht van de medewerker aan de verwijsindex worden gemeld indien wordt voldaan aan de vereisten van artikel 7.1.4.1 Jw.

8. Het in afwijking van de voorgaande leden verstrekken van inlichtingen over de cliënt aan anderen dan de cliënt, is uitsluitend toegestaan in een situatie van overmacht.

9. Met inachtneming van de bepalingen uit dit reglement, verschaft de gecertificeerde instelling aan de vertrouwenspersoon van de cliënt alle inlichtingen en toont de gecertificeerde instelling alle bescheiden die de vertrouwenspersoon voor een juiste uitoefening van zijn taak nodig heeft.38

10. De in het dossier aanwezige originele bescheiden blijven in het bezit van de gecertificeerde instelling.

37 Artikel 7.3.11 lid 3 jo 4.1.1 lid 3 Jw 38 Artikel 4.1.5 Besluit Jeugdwet

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

32

Page 33: Privacyreglement Gecertificeerde Instelling versie 2.0

11. Persoonlijke werkaantekeningen en rapporten die in bewerking zijn, zijn geen onderdeel van

het dossier en worden derhalve niet verstrekt. Toelichting Lid 1, 2 en 3 De jeugdige vanaf twaalf jaar moet toestemming geven voor de verstrekking van zijn gegevens aan derden. Er bestaat verschil van mening over de vraag of bij de jeugdige van 12 tot 16 jaar ook de wettelijk vertegenwoordiger hiervoor toestemming moet geven. Door hulpverleners die een behandeling uitvoeren op grond van de Wgbo wordt wel gesteld dat ook de wettelijk vertegenwoordiger moet instemmen met het verstrekken van gegevens aan derden omdat de wettelijk vertegenwoordiger ook moet instemmen met de medische behandeling van de jeugdige van 12 tot 16 jaar. Zowel in de Wjz als de Wet op de jeugdhulpverlening gold dat alleen de jeugdige van 12 jaar en ouder de toestemming voor derdenverstrekking moet geven. Ook uit een strikte lezen van de Jeugdwet volgt dit. Dit neemt niet weg dat bij de jeugdige van 12 tot 16 jaar de wettelijk vertegenwoordiger wel betrokken kan worden bij het overleg over het verstrekken van informatie aan derden. Echter het is de jeugdige zelf die hier dus toestemming voor moet geven. Indien de jeugdige jonger is dan twaalf jaar of ‘niet in staat is tot een redelijke waardering van zijn belangen ter zake’, is in plaats van zijn toestemming de toestemming van de wettelijk vertegenwoordiger vereist. In lid 3 is bepaald wie toestemming moet geven als de meerderjarige cliënt niet in staat is tot een redelijke waardering van zijn belang ter zake. Hoe bepaald kan worden of een cliënt in staat is ‘tot een redelijke waardering van zijn belangen ter zake’ wordt uitgelegd in de toelichting bij artikel 11 lid 2 van het reglement. Voor de ‘toestemming’ is van belang dat de cliënt zijn wil in vrijheid kan bepalen. Ook is van belang dat voor de cliënt duidelijk is voor welke informatieverstrekking hij toestemming geeft en aan wie die informatie wordt verstrekt. Het verdient de voorkeur de toestemming schriftelijk te verkrijgen, zodat hierover later geen misverstanden kunnen ontstaan. In het dossier van een cliënt komen naast gegevens van de cliënt ook gegevens van anderen voor. Het gaat om informatie over de jeugdige, zijn ouders en vaak om gegevens van bijvoorbeeld broers en zussen, pleegouders en stiefouders, maar ook om gegevens van andere hulpverleners, school, etc. Als gegevens van anderen (zoals gezinsleden) dermate verweven zijn met de gegevens van de cliënt dat zij moeilijk te scheiden zijn, dan worden zij geacht de cliënt zelf te betreffen. Anders ligt het voor gegevens die dermate los staan van de cliënt dat sprake is van ‘voldoende zelfstandigheid’. De hulpverlener moet in dat geval afwegen of de persoonlijke levenssfeer van deze andere persoon zou worden geschaad, als de informatie aan derden wordt verstrekt. In dat geval dient niet de cliënt maar deze persoon zelf toestemming te geven voor verstrekking van deze gegevens aan derden. ‘Tenzij bij of krachtens wet anders is bepaald’ Indien de gecertificeerde instelling een wettelijke plicht of bevoegdheid heeft om inlichtingen aan een derde te verstrekken, is voor die informatieverstrekking geen toestemming van de cliënt vereist. Verstrekkingen krachtens wettelijk voorschrift zijn naar hun aard immers niet aan toestemming onderworpen. Voorbeelden hiervan zijn de verstrekking van informatie aan degene die rechtstreeks bij de hulpverlening betrokken zijn, zoals genoemd in lid 4, en aan de Raad voor de Kinderbescherming, zoals beschreven in lid 6 en de gemeente inzake het verschaffen van informatie over de in te zetten jeugdhulp (artikel 3.5 Jw) en het verstrekken van beleidsinformatie ( zie ook hieronder onder het kopje ‘informatieverstrekking aan de gemeente). Ook kan gedacht worden aan informatieverstrekking aan de rechtbank. Zo heeft de gecertificeerde instelling in het kader van de ondertoezichtstelling de plicht om het plan en het verslag van het verloop van de ondertoezichtstelling aan de kinderrechter te sturen (artikel 1:265k, tweede lid BW). Hiervoor is dus geen nadere toestemming van de cliënt vereist.39 Is de verstrekking verenigbaar met het doel en worden niet teveel gegevens verstrekt? Voor de verstrekking van informatie aan derden, ook als de cliënt toestemming geeft, moet voldaan zijn aan de algemene voorwaarden voor gegevensverwerking die genoemd staan in artikel 7. Het artikel stelt grenzen aan de soort en de hoeveelheid gegevens die verstrekt worden

39 Voor andere voorbeelden van wettelijke verplichtingen tot informatieverstrekking wordt verwezen naar de toelichting bij artikel 8 lid 1 onder b van het reglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

33

Page 34: Privacyreglement Gecertificeerde Instelling versie 2.0

aan derden. Het is op basis daarvan belangrijk dat de derdenverstrekking verenigbaar is met het ‘doel’ waarvoor de gegevens zijn verzameld. Bekeken dient te worden of het doel waarvoor de gecertificeerde instelling de gegevens overweegt te gebruiken verenigbaar is met het doel waarvoor de gegevens zijn verkregen. De primaire reden dat de gecertificeerde instelling gegevens verwerkt, is dat de wettelijk opgedragen taken goed moeten kunnen worden uitgevoerd. De derdenverstrekking moet derhalve plaatsvinden in het kader van dit doel (zie artikel 6 van dit reglement). Daarnaast is van belang dat alleen relevante gegevens worden verstrekt. Het moet dus gaan om gegevens die noodzakelijkerwijs dienen te worden uitgewisseld in het kader van de hulpverlening aan de cliënt. In de regel zal het voor het doel niet noodzakelijk zijn om bijvoorbeeld het complete dossier van de betrokken jeugdige te verstrekken aan een jeugdhulpaanbieder. Ook schriftelijke stukken mogen alleen worden gebruikt voor het doel waarvoor zij zijn opgesteld. Zowel de opsteller van de rapportage (zoals jeugdhulpaanbieders en externe onderzoeksbureaus) als de cliënt moeten op de hoogte zijn van het gebruik dat mogelijk van de rapportage wordt gemaakt. Zo is het voor een externe deskundige die een jeugdige onderzoekt van belang om te weten dat zijn rapport ter onderbouwing van het verzoek tot machtiging uithuisplaatsing zal dienen. Een voorbeeld: De gecertificeerde instelling heeft een extern bureau onderzoek naar de jeugdige laten doet, om aan de hand daarvan de meest wenselijke hulpverlening te bepalen. In dezelfde periode wordt de raad voor de kinderbescherming in het kader van de echtscheiding gevraagd advies uit te brengen aan de rechter omtrent de toewijzing van het gezag. Als een van de ouders de raad op de hoogte brengt dat er onlangs een extern onderzoek is verricht, vraagt de raad aan de gecertificeerde instelling dit te verstrekken. Het probleem hierbij is dat het rapport is opgesteld met als doel: ondersteuning van de hulpverlening. Het rapport is niet gemaakt met als doel de rechter te informeren in een andere procedure. De betrokkenen zouden wellicht een andere houding hebben aangenomen als van tevoren duidelijk zou zijn geweest dat het rapport ook in het kader van de echtscheiding aan de orde zou komen. De gecertificeerde instelling zou ervoor kunnen kiezen om (met toestemming van de ouders) een samenvatting van het rapport te maken. Ook zou de raad het externe bureau kunnen verzoeken de gegevens opnieuw te verwerken in het kader van het verzoek om toewijzing van het gezag. Geven ouders hiervoor geen toestemming dan kan een nieuw deskundigenonderzoek eventueel uitkomst bieden. Informatieverstrekking aan ouders • Informatieverstrekking aan de ouder met gezag Verstrekking van informatie aan ouders over jeugdige cliënten vanaf zestien jaar, valt onder de regels van derdenverstrekking. Voor deze informatieverstrekking is derhalve toestemming van de jeugdige vereist. Dit is gebaseerd op het uitgangspunt dat bij oudere jongeren de hulp zich meer mag richten op het vergroten van de zelfstandigheid (zoals ook blijkt uit artikel 1:262 lid 2 BW ten aanzien van de ondertoezichtstelling). Voorwaarde is wel dat de jeugdige ‘in staat is tot een redelijke waardering van zijn belangen ter zake’.40 Is de jeugdige niet in staat tot een redelijke waardering van zijn belangen, dan zijn niet de regels voor derdenverstrekking, maar de inzageregels van artikel 11 van toepassing. Hetzelfde geldt voor informatieverstrekking aan met gezag belaste ouders over hun kinderen jonger dan zestien jaar. In deze gevallen heeft de ouder met gezag in principe recht op inzage in de gegevens van zijn kind. • Informatieverstrekking aan de ouder zonder gezag41 Als de gecertificeerde instelling informatie wil verstrekken aan de ouder zonder gezag is hiervoor de toestemming van de cliënt (of zijn wettelijk vertegenwoordiger) vereist. Maar ook als de cliënt geen toestemming geeft, heeft de ouder zonder gezag recht op informatie van beroepskrachten over ‘belangrijke feiten en omstandigheden die de persoon van het kind of diens verzorging en

40 Hoe bepaald kan worden of een jeugdige in staat is tot een redelijke waardering van zijn belangen ter zake, wordt uitgelegd in de toelichting bij artikel 11 lid 2. 41 Naast het recht op informatie van beroepskrachten, heeft de ouder zonder gezag recht op informatie van de ouder met gezag. De ouder met gezag dient de niet met gezag belaste ouder op de hoogte te stellen omtrent ‘gewichtige aangelegenheden met betrekking tot de persoon en het vermogen van het kind en deze te raadplegen over daaromtrent te nemen beslissingen’ (artikel 1:377b BW).

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

34

Page 35: Privacyreglement Gecertificeerde Instelling versie 2.0

opvoeding betreffen’ (op basis van artikel 1:377c BW).42 Niet alle informatie over de jeugdige hoeft dus te worden verstrekt. Het moet gaan om belangrijke feiten en omstandigheden. Informatie over de ‘persoon van het kind’ betreft met name zijn geestelijk en lichamelijk welzijn. Informatie over de ‘verzorging en opvoeding’ betreft zaken als leerprestaties, uithuisplaatsingen, etc. Volgens de wet moet de niet met het gezag belaste ouder zelf om de informatie vragen. De gecertificeerde instelling kan het verstrekken van informatie om twee redenen weigeren: 1. De gecertificeerde instelling zou de informatie waar de ouder zonder gezag om vraagt ook

niet geven aan de ouder mèt gezag of aan degene bij wie een jeugdige woont (bijvoorbeeld een pleegouder). Het gaat dan bijvoorbeeld om informatie die op grond van de geheimhoudingsplicht van de hulpverlener niet zonder toestemming van de jeugdige kan worden verstrekt (gezien bijvoorbeeld de leeftijd van de jeugdige of het vertrouwelijke karakter van de gesprekken die zijn gevoerd met de jeugdige).

2. De belangen van de jeugdige verzetten zich tegen het verstrekken van de informatie. De toelichting bij de wet geeft als voorbeeld het geval dat het verzoek van een ouder om omgang met zijn kind door de rechter is afgewezen, terwijl de ouder wel steeds probeert om zijn kind op school te ontmoeten. De docent kan de informatie dat de jeugdige met ingang van het volgende schooljaar naar een ander school gaat, in het belang van de jeugdige, in zo’n geval weigeren. Het weigeren om informatie te verstrekken aan de ouder zonder gezag mag niet al te gemakkelijk gebeuren. Ook een ouder zonder gezag heeft het recht om te weten hoe het met zijn kind gaat. Indien echter aannemelijk is dat de informatie op een voor het welzijn van de jeugdige onwenselijke of anderszins nadelige wijze zal worden gebruikt (bijvoorbeeld op grond van eerdere, redelijk recente ervaringen), dan zal de gecertificeerde instelling de informatie moeten weigeren wegens strijd met het belang van de jeugdige. Indien de gecertificeerde instelling weigert informatie te verstrekken, kan de ouder zonder gezag zich tot de rechter wenden met het verzoek te bepalen dat de informatie alsnog moet worden verstrekt (artikel 1:377c lid 3 BW).

Informatieverstrekking aan politie/justitie De gecertificeerde instelling krijgt soms van de politie verzoeken om informatie te verstrekken over een cliënt. Vaak denken hulpverleners dat zij verplicht zijn de informatie te geven. De hulpverlener heeft echter het recht de informatieverstrekking op grond van zijn beroepsgeheim te weigeren. De politie kan de hulpverlener niet dwingen de informatie te verstrekken. Als een hulpverlener in een strafproces als getuige wordt opgeroepen, dan beslist uiteindelijk de rechter of de hulpverlener zich terecht op zijn zwijgplicht beroept. Zie de paragraaf hieronder. Als een hulpverlener besluit om toch informatie aan de politie door te geven, doorbreekt hij daarmee zijn geheimhoudingsplicht. In dat geval moet zijn voldaan aan de voorwaarden van ‘overmacht’ (zie lid 7). Geheimhoudingsplicht en verschoningsrecht Het Nederlandse recht kent in zowel straf- als civielrechtelijke procedures een getuigplicht. Iedereen die opgeroepen wordt om te getuigen is verplicht een getuigenis af te leggen. Degenen die een geheimhoudingsplicht hebben uit hoofde van hun ambt of beroep, zoals medici, geestelijken en advocaten, hebben echter het recht om zich te verschonen van de getuigenis. Dit is het zogenaamde functionele verschoningsrecht. Dit betekent dat zij ontheven zijn van de plicht om een verklaring af te leggen. Het moet dan gaan om hetgeen hen is toevertrouwd in het kader van hun ambt of beroep. Zij zijn overigens wel verplicht om te verschijnen. Het is echter de vraag of ook hulpverleners in dienst van de gecertificeerde instelling zich kunnen beroepen op het verschoningsrecht. De rechter beslist per geval wanneer er sprake is van een verschoningsrecht van een hulpverlener met een geheimhoudingsplicht. Zie in dit verband ook artikel L van de beroepscode van de jeugdzorgwerker waarin is bepaald dat de jeugdzorgwerker indien hij door een rechter als getuige wordt opgeroepen een beroep doet op zijn geheimhoudingsplicht indien hij meent dat hij , alle belangen afwegend, tot geheimhouding ten opzichte van zijn cliënt verplicht is.

42 Het gaat hier om informatieverstrekking aan de ‘juridische’ ouder van het kind. Een louter ‘biologische’ ouder (zoals bijvoorbeeld een biologische vader die zijn kind niet heeft erkend) heeft op grond van deze bepaling geen recht op informatie.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

35

Page 36: Privacyreglement Gecertificeerde Instelling versie 2.0

Het enkele feit dat de hulpverlener een geheimhoudingsplicht heeft, betekent in ieder geval niet dat hem een verschoningsrecht toekomt. De rechter zal de belangen waarop de verplichting tot geheimhouding is gericht afwegen tegen de zwaarwegende belangen die gemoeid zijn met waarheidsvinding in de gerechtelijke procedure. Op basis van die afweging stelt de rechter vast of iemand een verschoningsrecht toekomt. Het verschoningsrecht bestaat in ieder geval niet tegenover de kinderrechter, in zaken die de verzorging en opvoeding van een minderjarige cliënt betreffen. Wanneer het niet wenselijk is dat alle bij de rechtszaak betrokken belanghebbenden de informatie ontvangen die betrekking heeft op de (minderjarige) cliënt, dient de hulpverlener dit in zijn verzoek nadrukkelijk aan te geven. Te denken valt dan aan bijvoorbeeld pleegouders of een ouder zonder gezag. Informatieverstrekking aan de gemeente De gecertificeerde instelling is voor het uitoefenen van haar werkzaamheden afhankelijk van een contract met de gemeente. De gemeente heeft om zijn taken en verantwoordelijkheden voor de jeugdzorg goed te kunnen uitoefenen informatie van de gecertificeerde instelling nodig. Maar welke informatie mag er worden verstrekt aan de gemeente? Opleggen kinderbeschermingsmaatregel en jeugdreclassering: De gecertificeerde instelling zal de gemeente moeten informeren over welke maatregel is uitgesproken. Deze informatieplicht gaat niet zo ver dat ook de rechterlijke uitspraak aan de gemeente moet worden toegestuurd. Verder zal de gemeente informatie moeten ontvangen over of al dan niet verlenging van de maatregel is verzocht of een reclasseringstraject is beëindigd. Deze informatieverstrekking gaat via CORV (zie ook hieronder onder het kopje ‘CORV’) Over de redenen en achtergronden van een eventuele verlenging of hoe de jeugdreclassering heeft plaatsgevonden zal de gemeente geen informatie ontvangen.43 Inzetten jeugdhulp: In artikel 3.5 lid 1 Jw is bepaald dat de gecertificeerde instelling bepaalt of en zo ja welke jeugdhulp is aangewezen en dat zij hiertoe overlegt met het college van de gemeente waar de jeugdige zijn woonplaats heeft. Waaruit dient dit overleg te bestaan? Gaat het hier om een overleg over de beschikbare jeugdhulp of dient er op casusniveau overleg te zijn? In de toelichting bij dit artikel in de Memorie van Toelichting is hierover het volgende bepaald: In de praktijk zal de gecertificeerde instelling met een door de gemeente aangewezen deskundige overleggen. Hiermee wordt de samenwerking tussen de gemeente en de gecertificeerde instelling geborgd. Het is van groot belang dat de gecertificeerde instelling per casus in overleg treedt met de gemeente over de eventuele in te zetten jeugdhulp voor de jeugdige. De gecertificeerde instelling moet niet alleen op de hoogte zijn van het ingekochte hulpaanbod van de gemeente, maar ook de inbreng van de gemeente meenemen in haar besluitvorming. Overeenstemming met de gemeente per geval wordt niet geëist, omdat het uiteindelijk de gecertificeerde instelling is die de wettelijke verantwoordelijkheid heeft om de door de rechter opgedragen maatregel uit te voeren. Uit deze toelichting zou volgen dat de gemeente ook informatie zou moeten ontvangen over de casus zelf, zodat de gecertificeerde instelling de inbreng kan meenemen in haar besluitvorming. Naar aanleiding van kamervragen over dit overleg tussen de gecertificeerde instelling en de gemeente heeft de wetgever hierover in de Memorie van Antwoord nog het volgende opgemerkt: (..) Dit overleg is er primair op gericht om te weten welke jeugdhulp door de gemeente is gecontracteerd. Uit die jeugdhulp kan de gecertificeerde instelling een keuze maken. De gemeente heeft vervolgens een leveringsplicht. In die gevallen dat de gecertificeerde instelling jeugdhulp noodzakelijk acht die niet is gecontracteerd, zal overleg op individueel niveau volgen. Het is de verwachting dat dit over het algemeen in goed overleg opgelost zal kunnen worden. Slechts in bijzondere gevallen, als de gemeente en de gecertificeerde instelling er samen niet uitkomen, rest dan de mogelijkheid voor de gecertificeerde instelling om naar de rechter te stappen.(…) Opgemerkt is de gedachte achter het overleg dat de gecertificeerde instelling op de hoogte moet zijn van het aanbod van de gemeente en anderzijds dat de gemeente als financier dient te weten welke jeugdhulp nodig wordt geacht (en dus moet worden ingekocht). Dat overleg kan plaatsvinden in een individueel geval. 44 In de Memorie van Antwoord heeft de wetgever het overleg op casusniveau

43 Zie kamerstukken Eerste Kamer, vergaderjaar 2013-2014, 33 684, F 44 Kamerstukken Eerste Kamer, vergaderjaar 2013–2014, 33 684, F p.45 e.v.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

36

Page 37: Privacyreglement Gecertificeerde Instelling versie 2.0

dus wat genuanceerd in die zin dat er alleen een overleg op individueel niveau zal volgen als het gaat om jeugdhulp die door de gemeenten niet is gecontracteerd. Voor dit overleg is geen toestemming van de cliënt nodig. Zie voor het verstrekken van informatie aan de gemeente ook artikel 17 van dit reglement. CORV Sinds 1 januari 2015 zijn de gemeenten verantwoordelijk voor de jeugdhulp en voor de uitvoering van jeugdbescherming en jeugdreclassering. In dit kader zijn alle gemeenten en verschillende partijen uit het gemeentelijk domein en justitiële partijen via een eigen applicatie of portaal aangesloten op de Collectieve Opdracht Routeervoorziening (CORV). Via COVR kunnen berichten worden verzonden en ontvangen. CORV is een digitaal knooppunt, dat zorgt voor een veilige en snelle digitale uitwisseling van formele berichten tussen justitiële partijen en partijen uit het gemeentelijk domein. Met CORV worden deze formele berichten veilig, digitaal en snel uitgewisseld en is de privacy geborgd. Het gebruik van CORV is wettelijk verplicht voor alle betrokken organisaties. Naast alle gemeenten zijn de Raad voor de Kinderbescherming (RvdK), de politie, het Centraal Justitieel Incassobureau (CJIB), de Veilig Thuis organisaties en de gecertificeerde instellingen op CORV aangesloten. Het Openbaar Ministerie is via het CJIB aangesloten. Zie voor verdere informatie over CORV en een overzicht welke berichten via CORV worden verzonden https://www.visd.nl/visd/collectieve-opdracht-routeervoorziening-corv Lid 445 sub a Rechtstreeks bij de hulpverlening betrokken In de Wjz was bepaald dat, om te voorkomen dat noodzakelijk geachte hulpverlening onmogelijk zou worden, Bureau Jeugdzorg ook zonder toestemming van de cliënt informatie kon verstrekken aan andere hulpverleners. Het betrof informatieverstrekking aan: • beroepskrachten van wie de medewerking bij de toegang tot en de uitvoering van de

jeugdzorg noodzakelijk is; en • degenen die betrokken zijn bij de voorbereiding of uitvoering van de ondertoezichtstelling,

voogdij of jeugdreclassering. Dit maakte het bijvoorbeeld mogelijk dat Bureau Jeugdzorg informatie doorgaf aan een zorgaanbieder. Ook overleg met AWBZ- en GGZ-voorzieningen of met scholen was op basis van deze bepaling mogelijk. In de Jeugdwet is gekozen voor de formulering ‘degene die rechtstreeks betrokken is bij de uitvoering van de kinderbeschermingsmaatregel of jeugdreclassering en degene die optreeds als vervanger van de jeugdhulpverlener’. Deze bepaling is overgenomen uit de Wgbo en lijkt minder ruimte te bieden voor gegevensuitwisseling zonder toestemming dan de bepaling uit de Wjz.46 In de toelichting bij de bepaling uit de Wgbo wordt als voorbeeld van degene die ‘rechtstreeks bij de hulpverlening zij betrokken’ genoemd dokters- of tandartsassistenten of een collega-vakgenoot die door de hulpverlener wordt geraadpleegd met het oog op de behandeling van de patiënt. De vraag is nu wie bij de uitvoering van de kinderbeschermingsmaatregel of jeugdreclassering kunnen worden beschouwd als ‘degene die hier rechtstreeks betrokken bij zijn. Dit is in ieder geval de betrokken medewerker van de gecertificeerde instelling en diens vervanger. Maar hoe zit dat met de gedragsdeskundige die wordt geconsulteerd, collega’s met wie samen beslissingen betreffende het gezin worden genomen? Of de jeugdhulpaanbieder of het betrokken pleeggezin? Kunnen die worden beschouwd als rechtstreeks betrokken bij de uitvoering van de kinderbeschermingsmaatregel of jeugdreclassering? De wetgever laat zich hier in de Memorie van Toelichting niet over uit. In de Nadere Memorie van Antwoord is hierover het volgende opgenomen: (…)Met het woord «die» is bedoeld duidelijk te maken dat deze bepaling ziet op een hulpverlener die rechtstreeks betrokken is bij die specifieke verlening van jeugdhulp en dus niet op hulpverleners die in brede zin betrokken zijn bij de verlening van jeugdhulp aan dezelfde persoon. Wel kan het een persoon zijn die niet BIG-geregistreerd is. Dan geldt nog wel de regel dat dit slechts is toegestaan voor zover de verstrekking noodzakelijk is voor de door hen in dat

45 In de conceptversie van het privacyreglement was de keuze gemaakt deze bepaling niet van toepassing te verklaring op inzet GI in het vrijwillig kader. Echter bij nader inzien de keus gemaakt deze uitzondering hiervoor niet te maken, gezien het geven dat deze bepaling ook geldt voor jeugdhulpaanbieders (ook in het vrijwillig kader) en ook hier het logisch is dat wel overleg kan plaatsvinden met een collega/plaatsvervanger. 46 Zie artikel 7:457 lid 2 Wgbo.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

37

Page 38: Privacyreglement Gecertificeerde Instelling versie 2.0

kader te verrichten werkzaamheden. Aan een collega waarmee de jeugdhulpverlener in de uitvoering van die jeugdhulp samenwerkt, kan hij gegevens verstrekken over de betrokken jeugdige of inzage geven in het dossier. Ook dan geldt nog wel de regel dat dit slechts is toegestaan voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. Het in voorbeeld 4 van het memorie van antwoord opgenomen voorbeeld dat ter consultatie zonder toestemming gegevens vertrekt kunnen worden aan een collega, betreft een voorbeeld waarbij die collega vanwege de intercollegiale consultatie betrokken is bij de uitvoering van die jeugd- hulpverlening. In deze toelichting wordt gesproken over de jeugdhulpverlener, maar is ook van toepassing op de medewerker van de gecertificeerde instelling. In het licht van de bedoeling van de wetgever in de Wjz en toelichting bij de Wgbo zou het zo kunnen worden uitgelegd dat voorgenoemde personen kunnen worden beschouwd ‘als rechtstreeks bij de uitvoering betrokken’. Door de toenmalige Registratiekamer (nu College Bescherming Persoonsgegevens geheten) is in het rapport ‘Medicatiebewaking door centrale patiëntenregistraties’ (27 oktober 1998,95.O.27) een aantal criteria geformuleerd op grond waarvan men de kring van rechtstreeks betrokkenen kan bepalen. Deze criteria zijn de volgende: • Is het gebruikelijk in de beroepsgroep om deze andere hulpverlener op deze wijze bij de behandelingsovereenkomst te betrekken? • Zijn er redelijke alternatieven? • Heeft de hulpverlener zelf voldoende zeggenschap? • Zijn privacybeschermende maatregelen getroffen? • Is deze werkwijze kenbaar bij de patiënt? • Is deze werkwijze in het belang van de patiënt? • Is de omvang van de samenwerking voldoende beperkt?47 Het is in ieder geval belangrijk om als gecertificeerde instelling bij de inrichting van het besluitvormingsproces en als medewerker af te wegen wie kunnen worden beschouwd als zijnde ‘rechtstreeks betrokken’ en in hoeverre het altijd noodzakelijk is om bijvoorbeeld in een overleg met collega’s of andere hulpverleners is om de naam van de betrokken cliënten te noemen of dat er ook voor gekozen kan worden de ‘zaak’ anoniem te bespreken.

Informatieverstrekking door derden aan de gecertificeerde instelling bij een ondertoezichtstelling Hoewel de ruimte om zonder toestemming informatie te verstrekken voor de gecertificeerde instelling in de Jeugdwet ten op opzichte van de Wjz wat lijkt te zijn ingeperkt, is er daarentegen voor derden die beroepshalve beschikking over inlichtingen inzake feiten en omstandigheden die de persoon van een onder toezicht gestelde minderjarige, diens verzorging en opvoeding of de persoon van een ouder of voogd betreffen bepaald dat deze derden zonder toestemming van de ouders gegevens verstrekken aan de gecertificeerde instelling indien dit noodzakelijk is voor de uitvoering van de ondertoezichtstelling (artikel 7.3.11 lid 4 Jw). Deze inlichtingen worden verstrekt als de medewerker van de gecertificeerde instelling er om verzoekt of kunnen uit eigen beweging worden verstrekt. Voor het geven van deze inlichtingen is geen toestemming van de betrokkenen nodig en de inlichtingen kunnen indien nodig met doorbreking van de plicht tot geheimhouding worden verstrekt. Het gaat hier om een verplichting informatie te verstrekken. De wetgever acht het van belang dat de gezinsvoogdijwerker in het belang van het kind voor alle relevante informatie zou moeten kunnen beschikken. Het gaat hier niet alleen om hulpverleners die direct bij het kind zijn betrokken, maar ook om hulpverleners die betrokken zijn bij andere gezinsleden.48 De verplichte informatieverstrekking ziet alleen toe op de ondertoezichtstelling en geldt dus niet als het gaat om een voogdijpupil49 of jeugdreclassering.

Overigens zal altijd afgewogen moeten worden welke informatieverstrekking noodzakelijk is voor het goed uitvoeren van de kinderbeschermingsmaatregel of jeugdreclassering. Ook hier geldt dat de verstrekking overeenkomstig het doel dient te zijn (zie de toelichting bij lid 1). Ook al is het mogelijk om zonder toestemming van de cliënt informatie uit te wisselen, toch wordt bij voorkeur toestemming van de cliënt gevraagd. Dat geldt in ieder geval als de gecertificeerde

47 Zie Van wet naar praktijk. Implementatie van de WGBO. Deel 4 Toegang tot Patiëntengegevens, een . uitgave van het Samenwerkingsverband Implementatieprogramma WGBO., juni 2004 48 Tweede Kamer, vergaderjaar 2010–2011, 32 015, nr. 21 49 Ingeval van de voogdij heeft de gecertificeerde instelling net als een ouder met gezag recht op informatie over de voogdijpupil.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

38

Page 39: Privacyreglement Gecertificeerde Instelling versie 2.0

instelling in het vrijwillig kader bij een jeugdig c.q. gezin is betrokken. Voor het laten slagen van de hulpverlening is de medewerking van de cliënt meestal essentieel. Is de cliënt (en zijn gezin) niet gemotiveerd, dan heeft het meestal geen zin om gegevens aan de jeugdhulpaanbieder te verstrekken. In de gedwongen hulpverlening (ondertoezichtstelling, voogdij, jeugdreclassering) zal eerder zonder toestemming van de cliënt informatie aan beroepskrachten kunnen worden verstrekt. Wel dient de gecertificeerde instelling de cliënt, voor zover mogelijk (vooraf en anders achteraf), ervan op de hoogte te stellen dat de informatie wordt (of is) verstrekt. Het gaat overigens om een bevoegdheid van de gecertificeerde instelling - en geen verplichting - om informatie te verstrekken aan degene die betrokken zijn bij de uitvoering van de kinderbeschermingsmaatregel of jeugdreclassering zonder toestemming van de cliënt.. De medewerkers van de gecertificeerde instelling weegt af welke informatie volgens hem verstrekt dient te worden. Zijn externe onderzoekers rechtstreeks betrokken bij de uitvoering van de taken als bedoeld in artikel 3? Voor het laten verrichten van diagnostisch onderzoek door een extern onderzoeksbureau in het kader van de voogdij en de ondertoezichtstelling zijn door het ministerie van Justitie richtlijnen voor het (laten) verrichten van extern onderzoek opgesteld.50 Deze richtlijnen schrijven voor dat de cliënt en/of zijn wettelijk vertegenwoordiger moet instemmen met het externe onderzoek. Na de instemming mogen de gegevens die relevant zijn voor het onderzoek worden verstrekt aan de externe onderzoeker. De bedoeling is om, indien enigszins mogelijk, van ouders en jeugdigen medewerking te verkrijgen voor een onderzoek. Het onderzoek zal anders nauwelijks zin hebben. De richtlijnen gaan er vanuit dat, indien de cliënt niet meewerkt, de gecertificeerde instelling in het kader van de ondertoezichtstelling, een schriftelijke aanwijzing aan de jeugdige en/of zijn ouders kan geven. De jeugdige vanaf twaalf jaar en de ouder met gezag kunnen hiertegen in beroep bij de kinderrechter.51 Als ouders in het vrijwillig kader hun medewerking weigeren, heeft het weinig zin om de informatie aan de externe deskundige te verstrekken. Afgewogen dient te worden of de weigering van de ouders een reden is om een melding bij de Raad voor de Kinderbescherming te doen. Zijn pleegouders rechtstreeks betrokken bij de uitvoering van de taken als bedoeld in artikel 3? De vraag is of pleegouders te beschouwen zijn als beroepskrachten van wie medewerking bij de hulpverlening noodzakelijk is en aan wie derhalve zonder toestemming informatie mag worden verstrekt. 52 De pleegzorg vindt plaats vanuit een jeugdhulpaanbieder. De pleegzorgwerker die werkt bij deze jeugdhulpaanbieder zou kunnen worden beschouwd als iemand die rechtstreeks bij de uitvoering is betrokken. Vanuit een gezinssituatie leven met een jeugdige, zoals pleegouders doen, is echter anders dan ‘beroepshalve bemoeienis’ met deze jeugdige hebben. Met name in situaties waarin pleegouders family life hebben met hun pleegkind, kan moeilijk worden gezegd dat pleegouders als rechtstreeks bij de hulpverlening optreden. Op het moment dat pleegouders een jeugdige in hun gezin opnemen, heeft dit echter zowel voor henzelf als voor de jeugdige verstrekkende gevolgen. Het moet dan mogelijk zijn om pleegouders zo volledig mogelijk te informeren over de achtergrond van de jeugdige. Evenals andere beroepskrachten, hebben pleegouders geen recht op inzage in de gegevens van de jeugdige. Wel is in artikel 4.1.3 Jw bepaald dat de gecertificeerde instelling bij het opstellen van een plan van aanpak overleg dient te zijn met de betrokken pleegouders. Deze bepaling biedt ruimte om zonder toestemming van de cliënt gegevens met de pleegouders uit te wisselen. Voor zover het inzage betreft in gegevens die de pleegouders zelf betreffen is niet artikel 15 maar artikel 11 van dit reglement van toepassing.

50 ‘Richtlijnen voor het (laten) verrichten van extern onderzoek’, Staatscourant 1996, nr. 68, p. 10. Deze richtlijnen zijn inmiddels vervangen door de richtlijnen van augustus 2004, zie www. kinderbescherming.nl 51 Het kan voorkomen dat ouders hun medewerking aan het onderzoek van hun kind blijven weigeren, ook nadat er een schriftelijke aanwijzing is gegeven. Hiervan kan sprake zijn als ouders de aanwijzing naast zich neerleggen en niet in beroep gaan tegen de aanwijzing. Ook kan het voorkomen dat zij wel in beroep gaan en de kinderrechter beslist dat de ouders moeten meewerken, maar dat zij vervolgens hun toestemming blijven weigeren. De gecertificeerde instelling kan de informatie naar ons idee dan wel verstrekken aan het onderzoeksbureau, ook al blijven de ouders weigeren in te stemmen. De schriftelijke aanwijzing heeft immers het gezag van de ouders in dat geval beperkt. 52 De Jeugdwet beschouwt pleegouders niet als cliënten omdat zij zelf onderdeel uitmaken van het jeugdhulp en zij in dat verband vallen onder de verantwoordelijkheid van de jeugdhulpaanbieder die pleegzorg biedt ’ (zie toelichting Memorie van Toelichting Jeugdwet bij de definitie van ‘ouder’ in artikel 1.1, pagina 105.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

39

Page 40: Privacyreglement Gecertificeerde Instelling versie 2.0

Zie voor wat betreft de mogelijkheid voor pleegouders om informatie betreffende hun pleegkind te ontvangen ook artikel 5.4 Jw waarin is bepaald dat de pleegzorgaanbieder inlichtingen inzake feiten en omstandigheden die de persoon van de jeugdige of diens verzorging en opvoeding betreffen en die noodzakelijk zijn voor de uitoefening van de taak van de pleegouder.53 Informatie-uitwisseling binnen de gecertificeerde instelling De gecertificeerde instelling heeft een taak op het gebied van het uitvoeren van kinderbeschermingsmaatregelen én jeugdreclassering en kan daarnaast een taak uitvoeren in het vrijwillig kader. Op grond van artikel 4 van dit reglement hebben medewerkers van de gecertificeerde instelling alleen toegang tot een cliëntdossier voor zover dit noodzakelijk is voor de uitvoering van hun taak. Een medewerker van de gecertificeerde instelling kan dus niet zomaar gegevens verstrekken aan collega's (van een andere afdeling), hiervoor is alleen ruimte als een andere collega de informatie nodig heeft om zijn taak goed uit te oefenen. Op grond van het derde lid van dit artikel kan deze informatieverstrekking zonder toestemming van de cliënt plaatsvinden. De gegevensuitwisseling tussen afdelingen of collega’s kan ook voorkomen dat een cliënt, op het moment dat hij wordt doorverwezen naar een andere afdeling, zijn verhaal weer opnieuw moet doen. Vermoeden van kindermishandeling of huiselijk geweld In de Jeugdwet is bepaald dat de gecertificeerde instelling over een meldcode moet beschikken waarin stapsgewijs wordt aangegeven hoe wordt omgegaan met signalen van huiselijk geweld of kindermishandeling. In de Wet maatschappelijke onderneming 2015 (Wmo 2015) is verder bepaald dat derden die beroepshalve beschikken over inlichtingen die noodzakelijk kunnen worden geacht om een situatie van kindermishandeling te beëindigen of een redelijk vermoeden van kindermishandeling te onderzoeken, aan een AMHK deze inlichtingen desgevraagd of uit eigen beweging kunnen verstrekken zonder toestemming van degene die het betreft en indien nodig met doorbreking van de plicht tot geheimhouding op grond van een wettelijk voorschrift of op grond van hun ambt of beroep. Deze bepaling biedt de gecertificeerde instelling ruimte om zonder toestemming informatie aan het AMHK te verstrekken. Gegevensuitwisseling in een samenwerkingsverband of sociaal netwerk Al langere tijd is de roep om nauwere samenwerking tussen hulpverlenende instellingen versterkt door enkele excessen die zich hebben voorgedaan binnen de maatschappij zoals een aantal gezinsdrama’s. Om te komen tot een gezamenlijke aanpak worden steeds meer samenwerkingsverbanden afgesloten en is een van de doelstellingen van onder meer de Jeugdwet om te werken tot integrale hulpverlening ‘één gezin, één plan, één regisseur’. Zo zijn er bijvoorbeeld de Veiligheidshuizen. Dit zijn netwerksamenwerkingsverbanden, die partners uit de strafrechtketen, de zorgketen, gemeentelijke partners en bestuur verbinden in de aanpak van complexe problematiek. Het doel van de samenwerking is het terugdringen van overlast, huiselijk geweld en criminaliteit. Daarnaast zijn er veel gemeenten die de toegang tot onder meer de jeugdhulp in een sociaal wijkteam beleggen, een team waarbij vaak hulpverleners van verschillende organisaties bij elkaar zitten. De bescherming van de privacy van de betrokken jeugdige en zijn ouders kan hiermee echter op gespannen voet staan. Het is daarom belangrijk om met inachtneming van de voor ieder der partijen geldende privacyregels de wijze waarop de gegevensuitwisseling plaatsvindt expliciet vast te leggen in een convenant.54 Uitgangspunt bij de uitwisseling van gegevens in netwerken en een sociaal wijkteam, zijn dat de geheimhoudingsplicht en de privacyregels die voor de gecertificeerde instelling ( dit geldt ook voor de inzet van de gecertificeerde instelling in het vrijwillig kader) onverkort gelden. Dit betekent dat in principe toestemming van de cliënt vereist is en dat deze voorafgaande aan eventuele gegevensverstrekking wordt gevraagd. Hiervoor is uitgelegd in welke situaties er ook zonder deze toestemming informatie mag worden verstrekt. De gecertificeerde instelling heeft derhalve op basis van artikel 15 lid 4 van het privacyreglement in principe de mogelijkheid om met degene die direct bij de hulpverlening zijn betrokken informatie uit te wisselen, ook als de cliënt daar geen toestemming voor geeft. De medewerker van de gecertificeerde instelling zal in

53 Zie ook het wetsvoorstel 32.529 Verbetering rechtspositie pleegouders dat op 1 juli 2013 in werking is getreden. 54 Zie voor een kritische noot over gegevenuitwisseling, S. Nout, Gemeentezorg en privacyzorgen, Nederlands Juristenblad 5 december 2014, aflevering 42, pag. 2993 e.v.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

40

Page 41: Privacyreglement Gecertificeerde Instelling versie 2.0

een samenwerkingsverband of overleg van verschillende hulpverleners daarom eerst moeten vaststellen wie rechtstreeks bij de hulpverlening is betrokken (zie ook hierboven de toelichting bij artikel 15 lid 5). Zijn er hulpverleners die hiertoe niet kunnen worden gerekend, dan mogen aan deze hulpverleners, zonder toestemming van de cliënt, geen gegevens worden verstrekt, tenzij er sprake is van een overmachtssituatie (zie hierboven artikel 15 lid 7). Er kan dan voor gekozen worden de zaak ‘anoniem’ te bespreken dus zonder te benoemen om welke cliënt het gaat. Degene die beroepshalve over informatie beschikt die noodzakelijk kan worden geacht voor de uitvoering van de ondertoezichtstelling, heeft de wettelijke mogelijkheid deze informatie aan de medewerker van de gecertificeerde instelling die belast is met de uitvoering van de ondertoezichtstelling te verstrekken. Over hoe om te gaan met gegevensuitwisseling tussen hulpverleners, binnen een sociaal wijkteam en andere samenwerkingsverbanden bestaan nog de nodige onduidelijkheden. Het kabinet heeft zijn visie over gegevensuitwisseling in het sociaal domein in weergegeven in het document ‘Zorgvuldig en bewust’.55 Zie verder ook de wegwijzer voor zorgprofessionals ‘Het beroepsgeheim in samenwerkingsverbanden, dat door een aantal organisaties gezamenlijk is opgesteld. Zie verder bijlage II ‘Handreiking samenwerken en gegevensuitwisseling en bijlage III Privacywijzer. Feitelijke juistheid gegevens Een punt van aandacht bij gegevensverwerking en –verstrekking is de juistheid van de gegevens die worden verwerkt en verstrekt. Als een mening als feit wordt gepresenteerd of onjuiste gegevens zijn verwerkt, leidt het delen van deze gegevens er toe dat degene die de informatie ontvangt van deze onjuiste gegevens uitgaat. Het risico bestaat hierbij dat de hulpverlening aan de cliënt hiermee onder druk komt te staan omdat de cliënt geen vertrouwen heeft in de betrokken hulpverleners. Zie in dit verband ook artikel 7 lid 4 van dit reglement en de toelichting hierbij als mede bijlage I ‘Richtlijnen ‘Feiten volledig en naar waarheid aanvoeren’ Lid 4 sub b De ouder(s) met gezag of voogd van de minderjarige tot 16 jaar heeft recht op inzage in het dossier van de minderjarige. Lid 5 Ook als er toestemming van de cliënt is of er ruimte is om zonder toestemming informatie te verstrekken, zijn de medewerkers van de gecertificeerde instelling niet verplicht ook daadwerkelijk informatie te verstrekken. Steeds zal er door de medewerker – al dan niet in overleg met collega’s - moeten worden afgewogen of verstrekking van informatie noodzakelijk en in het belang van de cliënt is of niet in strijd is met goed hulpverlenerschap. Lid 6 De gecertificeerde instelling heeft de bevoegdheid om de geheimhoudingsplicht te doorbreken door, ook zonder toestemming van degene die het betreft, aan de Raad voor de Kinderbescherming inlichtingen te verstrekken, als dit noodzakelijk kan worden geacht voor de bescherming van de jeugdige. Uitsluitend de inlichtingen die noodzakelijk kunnen worden geacht voor de uitoefening van de taken van de Raad mogen worden verstrekt (art. 1:240 BW). Lid 7

In dit lid is bepaald dat een melding kan worden gedaan aan de Verwijsindex (VIR).

55 Zie ook: Sauerwein & Van Oosten Slingeland, Handreiking voor gemeenten over privacyaspecten bij criminaliteitspreventie, ministerie van Justitie en ministerie van Binnenlandse Zaken, Den Haag mei 2002; Modelconvenant over de gegevensuitwisseling tussen partijen betrokken bij het criminaliteitspreventiebeleid in gemeenten (opgesteld door L.B. Sauerwein). Baeten & Janssen, Spelregels voor samenwerkingsverbanden huiselijk geweld, NIZW, Utrecht 2003. Zie ook Baeten & Janssen, Samenwerking en beroepsgeheim. Juridische mogelijkheden voor het uitwisselen van gegevens bij de aanpak van huiselijk geweld, NIZW, Utrecht 2002.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

41

Page 42: Privacyreglement Gecertificeerde Instelling versie 2.0

Een (medewerker van de) gecertificeerde instelling kan zonder toestemming van de jeugdige of zijn wettelijk vertegenwoordiger en zo nodig met doorbreking van de op grond van zijn ambt of beroep geldende plicht tot geheimhouding, een jeugdige melden aan de verwijsindex indien hij een redelijk vermoeden heeft dat de jeugdige door een of meer van de hierna genoemde risico’s in de noodzakelijke condities voor een gezonde en veilige ontwikkeling naar volwassenheid daadwerkelijk wordt bedreigd: a. de jeugdige staat bloot aan geestelijk, lichamelijk of seksueel geweld, enige andere vernederende behandeling, of verwaarlozing; b. de jeugdige heeft meer of andere dan bij zijn leeftijd normaliter voorkomende psychische problemen, waaronder verslaving aan alcohol, drugs of kansspelen; c. de jeugdige heeft meer dan bij zijn leeftijd normaliter voorkomende ernstige opgroei- of opvoedingsproblemen; d. de jeugdige is minderjarig en moeder of zwanger; e. de jeugdige verzuimt veelvuldig van school of andere onderwijsinstelling, dan wel verlaat die voortijdig of dreigt die voortijdig te verlaten; f. de jeugdige is niet gemotiveerd om door legale arbeid in zijn levensonderhoud te voorzien; g. de jeugdige heeft meer of andere dan bij zijn leeftijd normaliter voorkomende financiële problemen; h. de jeugdige heeft geen vaste woon- of verblijfplaats; i. de jeugdige is een gevaar voor anderen door lichamelijk of geestelijk geweld of ander intimiderend gedrag; j. de jeugdige laat zich in met activiteiten die strafbaar zijn gesteld; k. de ouders of andere verzorgers van de jeugdige schieten ernstig tekort in de verzorging of opvoeding van de jeugdige, of l. de jeugdige staat bloot aan risico’s die in bepaalde etnische groepen onevenredig vaak voorkomen. Inhoud van een melding in de VIR In de VIR staat alleen geregistreerd dat er een melding is gedaan. De aard van de melding en de behandeling worden niet bijgehouden. Die informatie blijft in het dossier bij de betreffende hulpverlener. Een melding omvat alleen:

- identificatiegegevens van de jongere (aan de hand van het burgerservicenummer); - identificatiegegevens van de meldende instantie; - datum van de melding; - contactgegevens van de meldende instantie.

Lid 8 De leden 1 tot en met 4 van artikel 15 bieden bepaalde mogelijkheden aan de medewerker van de gecertificeerde instelling om zijn geheimhoudingsplicht te doorbreken, ook als de cliënt daar niet mee instemt. Toch kan het voorkomen dat deze bepalingen in een concreet geval geen mogelijkheden bieden om de geheimhoudingsplicht te doorbreken, terwijl de medewerker vindt dat hij dit eigenlijk wel zou moeten doen. Als hij vindt dat hij alleen door anderen te informeren ernstig nadeel of gevaar voor zijn cliënt kan voorkomen, kan hij onder bepaalde voorwaarden zijn geheimhoudingsplicht doorbreken door een beroep te doen op ‘overmacht’. Het moet gaan om een noodsituatie waarbij er geen andere mogelijkheid bestaat om het gevaar waaraan de cliënt wordt blootgesteld af te wenden. De hulpverlener verkeert in zo’n geval in gewetensnood, ook wel ‘conflict van plichten’ genoemd. Als hij de informatie verstrekt, verbreekt hij zijn geheimhoudingsplicht. Maar als hij de informatie niet verstrekt, verleent hij niet de zorg die hij zou moeten verlenen. Een beroep op overmacht is in principe gericht op de belangen van de cliënt, waarbij de belangen van de jeugdige het zwaarst meewegen. Een beroep op overmacht in verband met de belangen van een ander dan de cliënt, is alleen mogelijk indien er concreet levensgevaar voor die ander dreigt. Aangezien jeugdige cliënten zich veelal in een afhankelijkheidsrelatie bevinden, zal een beroep op overmacht ter bescherming van hun belangen sneller slagen dan bij volwassen cliënten. Bovendien geldt op grond van artikel 255 Wetboek van Strafrecht ook de plicht voor de medewerker van de gecertificeerde instelling om een cliënt die aan zijn zorgen is toevertrouwd niet in een hulpbehoevende toestand te laten. Als de gecertificeerde instelling aangifte wil doen van kindermishandeling of seksueel misbruik kan in bepaalde gevallen ook een beroep worden gedaan op overmacht.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

42

Page 43: Privacyreglement Gecertificeerde Instelling versie 2.0

Op overmacht mag alleen een beroep worden gedaan in uitzonderlijke situaties. Of sprake is van overmacht, kan een medewerker van de gecertificeerde instelling vaststellen aan de hand van de volgende vragen:56 1. Welk gerechtvaardigd doel wil ik bereiken met het geven van informatie? 2. Kan dit doel ook worden bereikt zonder dat ik informatie aan een ander verstrek? 3. Is het mogelijk en verantwoord om toestemming van mijn cliënt te vragen voor de

gegevensverstrekking en zo ja, heb ik alles gedaan om toestemming te krijgen? 4. Weegt het gevaar of het ernstige nadeel voor de cliënt, dat ik door de gegevensverstrekking

wil afwenden, zo zwaar dat dit opweegt tegen het belang dat de cliënt heeft bij geheimhouding?

5. Als ik besluit om te spreken, welke informatie heeft de ander aan wie ik informatie verstrek echt nodig om het ernstig nadeel of gevaar voor de cliënt af te wenden?

Het is van belang om, indien een beroep op overmacht wordt overwogen, dit intern zorgvuldig te bespreken. De overwegingen en uiteindelijke beslissing moeten worden vastgelegd in het dossier. Zie ook artikel J van de beroepscode voor de jeugdzorgwerker waarin bij de toelichting is opgenomen dat als de jeugdzorgwerker geen toestemming heeft of toestemming niet kan worden gevraagd, hij dan slechts gegevens van een cliënt aan een derde kan verstrekken indien: de cliënt of een gezinslid in een ernstige situatie verkeert en dringend op hulp of bescherming is aangewezen en deze hulp en bescherming alleen kan worden gerealiseerd door het aan een derde verstrekken van informatie. Lid 9 Dit lid is conform het bepaalde in artikel 4.1.5 Besluit Jeugdwet. Zie voor een definitie van de vertrouwenspersoon artikel 1 van dit reglement. De vertrouwenspersoon heeft als taak jeugdigen en (pleeg-)ouders te informeren over en te ondersteunen bij aangelegenheden die samenhangen met de wettelijke taken en verantwoordelijkheden van zowel het college, de jeugdhulpaanbieder als de gecertificeerde instelling, zodat deze cliënten hun belangen betreffende de benodigde ondersteuning, hulp of zorg doeltreffender kunnen behartigen. Om dit te kunnen realiseren zijn belangrijke taken van de vertrouwenspersoon: het geven van informatie en advies aan cliënten over hun (rechts)positie binnen de jeugdhulp en het ondersteunen van cliënten bij bemiddeling en het formuleren, indienen en afhandelen van hun klachten over de jeugdhulp. Op verzoek van cliënten kan de vertrouwenspersoon ook aanwezig zijn bij de gesprekken tussen een cliënt en de hulpverlener. Op het verstrekken van informatie aan de vertrouwenspersoon zijn de bepalingen in paragraaf 7.3 Jeugdwet betreffende privacy onverminderd van toepassing.57 Lid 10 Aan derden worden kopieën verstrekt; de originelen blijven in het bezit van de gecertificeerde instelling. Ook bij overdracht van een cliëntdossier van de ene naar de andere gecertificeerde instelling, blijft het origineel in het bezit van de overdragende gecertificeerde instelling. Dit in verband met mogelijke procesrisico’s en klachtenprocedures. De gecertificeerde instelling verstrekt in dat geval een kopie van het gehele dossier aan de gecertificeerde instelling die de zaak overneemt. Lid 11 Persoonlijke werkaantekeningen en rapporten die nog in bewerking zijn, zijn geen onderdeel van het dossier en slechts bestemd voor intern gebruik. Deze mogen daarom ook niet aan derden worden verstrekt. Op het moment dat persoonlijke werkaantekeningen wel aan derden worden verstrekt, worden deze onderdeel van het dossier en zijn de normale regels voor inzage- en derdenverstrekking van toepassing. Zie verder de toelichting bij artikel 11 lid 6 van het reglement.

56 De vijf vragen zijn opgesteld door P. Baeten en L. Janssen, Samenwerking en beroepsgeheim. Juridische mogelijkheden voor het uitwisselen van gegevens bij de aanpak van huiselijk geweld, NIZW eerste druk, 2002. 57 Zie toelichting bij het Besluit Jeugdwet.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

43

Page 44: Privacyreglement Gecertificeerde Instelling versie 2.0

Artikel 16. Gegevensverstrekking ten behoeve van statistiek of wetenschappelijk onderzoek 1. Zonder toestemming van de betrokkene kunnen ten behoeve van statistiek of

wetenschappelijk onderzoek op het gebied van de volksgezondheid, opgroei- en opvoedingsproblemen, psychische problemen en stoornissen, kinderbescherming of jeugdreclassering aan een ander desgevraagd inlichtingen over de betrokkene of inzage in het dossier worden verstrekt indien: a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen.

2. Verstrekking overeenkomstig het eerste lid is slechts mogelijk indien: a. het onderzoek een algemeen belang dient, b. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en c. voor zover de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.

3. Bij een verstrekking overeenkomstig het eerste lid wordt daarvan aantekening gehouden in het dossier.

Toelichting Het bijdragen aan wetenschappelijke ontwikkeling van de jeugdzorg is geen primair doel van de gecertificeerde instelling. Toch is het bijdragen aan wetenschappelijk onderzoek op indirecte wijze van belang voor de uiteindelijke uitvoering van de taken van de gecertificeerde instelling. Verdere verwerking van gegevens ten behoeve van onderzoek en statistiek is echter alleen toegestaan indien de gecertificeerde instelling voldoende voorzieningen heeft getroffen ten aanzien van de verdere verwerking van persoonsgegevens voor deze specifieke doelen. Bij het beoordelen of gegevens aan derden verstrekt mogen worden ten behoeve van onderzoek en statistiek, dient de geheimhoudingsplicht het uitgangspunt te zijn. Verwerken Zie ook artikel 23, tweede lid Wbp voor een wettelijke grondslag voor het verwerken van bijzondere persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek. Verwerkingen dienen achterwege te blijven, ’voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat’. Artikel 17. Gegevensverstrekking ten behoeve van de beleidsinformatie en toegang 1. De gecertificeerde instelling verstrekt gegevens aan Onze Ministers van Volksgezondheid,

Welzijn en Sport en van Veiligheid en Justitie tezamen ten behoeve van het verwerken van gegevens die betrekking hebben op de toegang tot de jeugdhulp, preventie, jeugdhulp, de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering teneinde een zorgvuldig en samenhangend jeugdbeleid te kunnen voeren en hun stelselverantwoordelijkheid te kunnen waarborgen.

2. De gecertificeerde instelling verstrekt kosteloos gegevens aan het college van Burgemeester en Wethouder ten behoeve van de totstandbrenging van een doelmatig, doeltreffend en samenhangend gemeentelijk beleid ten aanzien van preventie, jeugdhulp, de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering en het advies- en meldpunt huiselijk geweld en kindermishandeling, ten behoeve van de verwerking, bedoeld in het eerste lid, en ten behoeve van de toegang

3. De gegevens, bedoeld in het eerste en tweede lid, kunnen persoonsgegevens zijn voor zover deze gegevens noodzakelijk zijn voor: a. het doelmatig en doeltreffend functioneren van de toegang tot de jeugdhulp, de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering; b. het doelmatig en doeltreffend functioneren van de aanbieders van preventie, de jeugdhulpaanbieders, gecertificeerde instellingen en van de raad voor de kinderbescherming; c. de doelmatigheid en doeltreffendheid van het aanbod van preventie, jeugdhulp en gecertificeerde instellingen, en d. het waarborgen van de stelselverantwoordelijkheid.

4. Een incidentele verstrekking van gegevens betreft geen persoonsgegevens.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

44

Page 45: Privacyreglement Gecertificeerde Instelling versie 2.0

5. De structurele verstrekking door de gecertificeerde instelling van gegevens, bedoeld in het

eerste en tweede lid van dit artikel betreft: a. het burgerservicenummer, de geboortedatum en het geslacht van de jeugdige; b. de adresgegevens van de jeugdige, de gezaghebbende ouders, voogd of pleegoudervoogd, in het bijzonder ter aanduiding van de woonplaats als bedoeld in artikel 1.1 van de wet; c. de gegevens over de gecertificeerde instelling; d. de datum van de aanvang van de uitvoering van de kinderbeschermingsmaatregel of de jeugdreclassering; e. de einddatum van de uitvoering van de kinderbeschermingsmaatregel of de jeugdreclassering; f. het type ingezette jeugdhulp; g. een aanduiding van de verwijzer naar jeugdhulp; h. de reden van beëindiging van de jeugdhulp; i. het type kinderbeschermingsmaatregel of jeugdreclassering; j. de datum van het eerste contact van de gecertificeerde instelling met de jeugdige bij de uitvoering van de kinderbeschermingsmaatregel of de jeugdreclassering; k. de reden van de beëindiging van de kinderbeschermingsmaatregel of de jeugdreclassering; l. de vraag of er al dan niet sprake is van de inzet van een erkende interventie bij jeugdreclassering.

Toelichting Het verstrekken van gegevens aan onze Ministers en de gemeente is een wettelijke verplichting voor de gecertificeerde instelling. Zie paragraaf 7.4 Jeugdwet en 7.5 Besluit Jeugdwet. 58 De gegevens die de gemeente nodig heeft ten behoeve van de beleidsvorming en de toegang tot jeugdhulp en die het Rijk nodig heeft in verband met haar stelselverantwoordelijkheid worden in eerste instantie op het niveau van de jeugdhulpaanbieder, de gecertificeerde instellingen en de raad voor de kinderbescherming verwerkt. Dit artikel legt daarom de verplichting op aan deze instellingen om deze gegevens te leveren aan de gemeente en het Rijk en biedt daarmee tevens de basis voor de gemeente en het Rijk om deze met dat doel op te mogen vragen. Jeugdhulpaanbieders en gecertificeerde instellingen zijn gehouden deze gegevens kosteloos ter beschikking te stellen. Zie voor een verdere toelichting de Memorie van Toelichting bij paragraaf 7.4 van de Jeugdwet.59 5. Bewaartermijnen en vernietiging Algemeen Het bewaren van gegevens is in de afgelopen decennia regelmatig onderwerp van kritiek binnen de jeugdbescherming geweest. Begin jaren tachtig was er kritiek vanwege enkele incidenten waarbij informatie uit dossiers van kinderbescherming bij derden zoals werkgevers terechtkwam. Het werd niet wenselijk gevonden dat een dossier iemand zijn hele leven achtervolgt. Ter bestrijding hiervan werden de privacyregels aangescherpt, met als gevolg dat na vijf of tien jaar vrijwel alle gegevens vernietigd werden. Hierop ontstond in de jaren negentig echter opnieuw

58 In een brief van 27 maart 2015 en 13 mei 2015 heeft het CBP de staatssecretaris van Volksgezondheid, Welzijn en Sport en de minister van Veiligheid en Justitie een brief geschreven over een lacune in de Jeugdwet. In deze wet ontbreekt een bepaling over het doorbreken van de geheimhoudingsplicht door jeugdhulpverleners voor de financiële afwikkeling en controle op de jeugdzorg door de gemeente. Dit betekent dat dit voor doel alleen persoonsgegevens kunnen worden verstrekt als daarvoor toestemming van de cliënt is verkregen. Als er geen toestemming is verkregen, maar de jeugdhulpaanbieder (en dat geldt ook voor de gecertificeerde instelling) deze gegevens niet verstrekken en de gemeente mag deze gegevens niet verwerken. 59 Zie ook het bericht van het CBP ‘Doorbreking geheimhoudingsplicht Jeugdwet niet goed geregeld’ over de informatieverstrekking aan de gemeente. Het CBP stelt zich op het standpunt dat in de Jeugdwet een bepaling over het doorbreken van de geheimhoudingsplicht door jeugdhulpverleners voor de financiële afwikkeling en controle op de jeugdzorg door de gemeente ontbreekt. Zie ook wetsvoorstel 34191 Veegwet 2015 waarin door de wetgever artikel 7.4.4 wordt aangevuld.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

45

Page 46: Privacyreglement Gecertificeerde Instelling versie 2.0

kritiek aangezien er nogal wat mensen op zoek gingen naar hun verleden en stuitten op het ontbreken van voor hen vitale informatie. Om die reden was in het privacyreglement van Bureau Jeugdzorg vastgelegd dat dossiers die in het kader van de ondertoezichtstelling en voogdij zijn aangelegd, pas werden vernietigd nadat de jeugdige of diens wettelijk vertegenwoordiger inzage en afschrift in het dossier had gekregen. In het geval dat geen inzage en of afschrift was gegeven, werd het dossier bewaard totdat inzage en of afschrift was verleend of totdat de inmiddels meerderjarig geworden jeugdige had aangegeven dat vernietiging mocht plaatsvinden. Gezien deze achtergrond is ervoor gekozen om deze regeling in het huidige privacyreglement te handhaven, zodat personen ook op latere leeftijd in staat zijn om voor hen relevante informatie uit het verleden terug te vinden. Ook in dit reglement is hier aan vastgehouden. Artikel 18. Bewaren van persoonsgegevens 1. Na beëindiging van de ta(a)ken als bedoeld in artikel 3 wordt het dossier ondergebracht in

het archief van de gecertificeerde instelling. Op de verwerking van persoonsgegevens die zijn ondergebracht in het archief, is het bepaalde in dit privacyreglement onverkort van toepassing.

1. Onverminderd het derde, vierde en vijfde lid en artikel 19, bewaart de gecertificeerde instelling het dossier van een cliënt gedurende vijftien jaar, te rekenen vanaf het tijdstip waarop de hulpverlening is afgesloten.

2. De gecertificeerde instelling bewaart het dossier van de jeugdige die onder toezicht dan wel onder voogdij van de gecertificeerde instelling heeft gestaan zoveel langer tot het jongste kind van het gezin waartoe de - inmiddels meerderjarige - jeugdige behoort en met welk gezin de gecertificeerde instelling bemoeienis heeft gehad, meerderjarig is geworden.

3. De gecertificeerde instelling bewaart het dossier van de jeugdige die onder toezicht dan wel onder voogdij van de gecertificeerde instelling heeft gestaan vijftien jaar60, te rekenen vanaf het tijdstip waarop de hulpverlening is afgesloten, toch ten minste tot meerderjarigheid van de jeugdige. Voor zover aannemelijk kan worden gemaakt dat het bewaren van het dossier een bijdrage kan leveren aan het beëindigen van een mogelijke situatie van kindermishandeling, of van belang kan zijn voor een situatie waarin een maatregel met betrekking tot het gezag over een minderjarige overwogen dient te worden, bewaart de gecertificeerde instelling het dossier zoveel langer tot het jongste kind van het gezin waartoe de - inmiddels meerderjarige - jeugdige behoort en met welk gezin de gecertificeerde instelling bemoeienis heeft gehad, meerderjarig is geworden.

4. De gecertificeerde instelling vernietigt het dossier na de in het derde lid genoemde termijn pas nadat de inmiddels meerderjarige jeugdige inzage in en/of afschrift van zijn persoonsgegevens heeft gehad, dan wel schriftelijk kenbaar heeft gemaakt geen inzage en/of afschrift te wensen en verzoekt om vernietiging van de gegevens. De bewaartermijn is echter niet langer dan dertig jaar na meerderjarig worden van de jeugdige.

5. Inzake de verplichtingen die ingevolge de Archiefwet 1995 en de artikel 55 en 56 Wjz tot 1 januari 2015 rustten op de stichting Bureau Jeugdzorg is artikel 12.3 Jw van toepassing.

Toelichting Lid 1 Het privacyreglement is onverkort van toepassing op de (verwerking van) persoonsgegevens die in het archief zijn ondergebracht. Dit houdt in dat indien zich een vraag om inzage in een dossier dat in het archief is ondergebracht voordoet, deze volgens het privacyreglement dient te worden beantwoord. Daarnaast valt het beheer van de archieven onder specifieke (archief)wetgeving zoals de Archiefwet 1995, het Archiefbesluit 1995 (gewijzigd per 1 januari 2013) en Archiefregeling van 2009.61

60 In het Basisselectiedocument staat in hoofdstuk 2.3 artikel 18 van het Privacyreglement Bureau Jeugdzorg opgenomen. In lid 3 wordt een termijn van 10 jaar genoemd. Dit had echter ‘15’ jaar moeten zijn. 61 Op grond van deze wetgeving is de Rijksarchiefinspectie van mening dat slechts dan persoonsgegevens mogen vernietigen indien (archief)beheersregels zijn opgesteld en een (archief) bestandsregistratie aanwezig is. Zie ook de ministeriële regeling ‘Vaststelling selectielijst Bureaus Jeugdzorg over de periode vanaf 1995’ geldend op 2 maart 2015.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

46

Page 47: Privacyreglement Gecertificeerde Instelling versie 2.0

Lid 2 De gecertificeerde instelling bewaart een dossier in verband met zorgvuldige hulpverlening gedurende vijftien jaar te rekenen vanaf het tijdstip waarop de hulpverlening is afgesloten. Dit betreft met name de dossiers die door de gecertificeerde instelling in het kader van vrijwillige hulpverlening en jeugdreclassering zijn aangelegd. Voor de dossiers die in het kader van voogdij en ondertoezichtstelling is gekozen voor handhaving van de bewaartermijn zoals die ook was bepaald ten aanzien van deze dossiers van Bureau Jeugdzorg.. De bewaartermijn van vijftien jaar is gebaseerd op de Jeugdwet. Hierin is aangegeven dat de gecertificeerde instelling bescheiden die deze met betrekking tot de jeugdige onder zich hebben, gedurende vijftien jaren te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, bewaart of zoveel langer als redelijkerwijs in verband met een zorgvuldige hulpverlening noodzakelijk is.62 Uit praktische overwegingen en mede gezien de bestaande praktijk is ervoor gekozen om de bewaartermijn niet vanaf het tijdstip van vervaardiging in te laten gaan maar vanaf het moment dat de hulpverlening wordt afgesloten. De bewaartermijn kan overigens bekort worden doordat een verzoek om vernietiging door een betrokkene wordt ingediend. Zie hierover artikel 19. Lid 3 en 4 Voor wat betreft de dossiers die in het kader van voogdij en ondertoezichtstelling zijn aangelegd, hebben de gecertificeerde instellingen, in verband met zorgvuldige hulpverlening, besloten een afwijkende bewaartermijn te hanteren. De gecertificeerde instelling bewaart het dossier van de jeugdige die onder toezicht dan wel onder voogdij van de gecertificeerde instelling heeft gestaan zoveel langer tot het jongste kind van het gezin waartoe de - inmiddels meerderjarige - jeugdige behoord en met welk gezin de gecertificeerde instelling bemoeienis heeft gehad, meerderjarig is geworden. De gecertificeerde instelling vernietigt het dossier na deze termijn pas nadat de jeugdige inzage en of afschrift in zijn persoonsgegevens heeft gehad, dan wel schriftelijk kenbaar heeft gemaakt geen inzage en/of afschrift te wensen en verzoekt om vernietiging van de gegevens. De bewaartermijn is maximaal dertig jaar na de meerderjarigheid van de jeugdige. Dit lid is gebaseerd op het principe dat inzage en afschrift van dossierstukken na beëindiging van de bemoeienis verplicht is. In het geval dat geen inzage en/of afschrift in het dossier is verleend, moet het dossier bewaard worden tot wel inzage en/of afschrift is verleend of de inmiddels meerderjarig geworden jeugdige schriftelijk heeft aangegeven dat het dossier vernietigd kan worden. Het verlenen van inzage en/of afschrift na beëindiging van de hulpverlening dan wel nadat het dossier in het archief is ondergebracht, vindt plaats conform de uitgangspunten van het privacyreglement van de gecertificeerde instelling. Lid 5 De stichting Bureau Jeugdzorg zoals bedoeld in artikel 1 lid 1 Wjz is met de inwerkingtreding van de Jeugdwet formeel opgehouden te bestaan. In artikel 12.3 is bepaald op wie de verplichtingen die ingevolge de Archiefwet 1995 en de artikel 55 en 56 Wjz op de stichting Bureau Jeugdzorg rustten per 1 januari 2015 is overgegaan. Kort gezegd komt op het volgende neer: - Als een Bureau Jeugdzorg is doorgegaan als een gecertificeerde instelling dan rusten de

verplichten op de gecertificeerde instelling; - De archiefverplichtingen van het AMK zijn overgegaan op het AMHK en - De archiefverplichtingen betreffende de dossiers van de vrijwillige hulpverlening van Bureau

Jeugdzorg zijn ook overgegaan op de gecertificeerde instelling. De archiefverplichtingen gaan alleen op de gemeente over voor zover de gemeente dat dossier heeft ontvangen van de gecertificeerde instelling ten behoeve van de toeleiding naar, advisering over, bepaling van, het inzetten van of de bekostiging van een voorziening op het gebied van jeugdhulp. De gemeente moet hier dan wel om verzoeken. De verplichting van de gecertificeerde instelling om dergelijke dossiers te leveren, vloeit voort uit artikel 7.4.1 van de Jeugdwet in combinatie met de artikelen 7.4.3 en 7.4.4 Jeugdwet. Deze artikelen geven de gemeente de bevoegdheid om bij de gecertificeerde instelling die persoonsgegevens van de jeugdige op te vragen die de

62 Met de bewaartermijn in de Wjz was aangesloten bij de regeling in de Wgbo, art. 7:454 lid 3 BW, waarbij door de Gezondheidsraad was geadviseerd om de bewaartermijn van medische dossiers op maximaal dertig jaar vast te stellen (gekozen is de bewaartermijn voor medische dossiers te verlengen van 10 naar 15 jaar)

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

47

Page 48: Privacyreglement Gecertificeerde Instelling versie 2.0

gemeente nodig heeft om te bepalen of en, zo ja, welke jeugdhulp ingezet moet worden. Afhankelijk van de hulpvraag zoals deze vanaf 1 januari 2015 aan de gemeenten wordt gesteld, kan dit een compleet dossier betreffen of slechts gegevens uit dat dossier. Hierbij kan het tevens om bijzondere en dus ook medische gegevens gaan. Daarnaast kunnen gemeenten ook dossiers opvragen van jeugdigen die eerder jeugdzorg hebben gehad, mits zij die dossiers nodig hebben voor de toeleiding naar, advisering over, bepaling van en het inzetten van een voorziening op het gebied van jeugdhulp (of de bekostiging daarvan) voor een specifieke jeugdige. Te verwachten is dat zij op grond van deze bevoegdheid slechts relatief recente dossiers, bijvoorbeeld dossiers die sinds 1 januari 2013 zijn gevormd, zullen opvragen. Informatie die ouder is dan twee jaar, zal namelijk gezien het feit dat jeugdigen zich snel ontwikkelen, vaak al verouderd zijn, aldus de toelichting bij dit artikel. In de toelichting wordt verder nog uiteengezet hoe de gemeente kan omgaan met het opvragen van dossiers en het gesprek hierover met de jeugdigen en/of ouders.63

Artikel 19. Vernietiging van persoonsgegevens op verzoek 1. De gecertificeerde instelling vernietigt de door haar bewaarde bescheiden binnen drie

maanden na een daartoe strekkend schriftelijk verzoek van degene op wie de bescheiden betrekking hebben.

2. Het eerste lid geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de verzoeker, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

3. Het verzoek van een cliënt zoals bedoeld in het eerste lid, wordt niet ingewilligd indien deze: a. jonger is dan 12 jaar, of b. de leeftijd van 12 jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake.

4. In de gevallen bedoeld in het derde lid, kan het verzoek door ten aanzien van een minderjarige cliënt door een wettelijk vertegenwoordiger worden gedaan. Indien de cliënt meerderjarig is en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, kan het verzoek worden gedaan door de wettelijke vertegenwoordiger of de schriftelijke gemachtigde van deze cliënt vereist. Indien ten aanzien van de cliënt een gemachtigde ontbreekt, dan kan het verzoek worden gedaan door de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt in welke geval het verzoek kan worden gedaan door een ouder, kind, broer of zus van de jeugdige gelden, tenzij deze persoon dat niet wenst.

Toelichting Algemeen Uit het vorige artikel blijkt dat de gecertificeerde instelling verschillende bewaartermijnen hanteert ten aanzien van dossiers die in het kader van de hulpverlening worden aangelegd. Cliënten hebben echter tevens het recht om vernietiging van de door de gecertificeerde instelling bewaarde bescheiden te verzoeken. In het navolgende wordt beschreven in welke situaties het recht van betrokkene op vernietiging vóórgaat op de bewaartermijn, en in welke situaties niet. Lid 1 De gecertificeerde instelling moet zo spoedig mogelijk - dat wil zeggen binnen vier weken64 - schriftelijk reageren op een verzoek om vernietiging van een betrokkene. Indien de gecertificeerde instelling een verzoek afwijst, dan dient zij dit gemotiveerd en schriftelijk te melden aan de betrokkene. Ook als een verzoek niet binnen vier weken kan worden afgehandeld, dient dit gemotiveerd en schriftelijk aan de betrokkene te worden medegedeeld. De gecertificeerde instelling vernietigt de door haar bewaarde bescheiden binnen drie maanden na ontvangst van een daartoe strekkend verzoek van een betrokkene, indien daarop positief is beslist. Dit heeft tot gevolg dat de bewaartermijn in dat geval wordt bekort. Om aan te kunnen tonen dat om vernietiging is verzocht, wordt het verzoek tot vernietiging en de beslissing op dat verzoek door de gecertificeerde instelling bewaard.

63 Er is hierbij uitgegaan van de tekst zoals die is opgenomen in wetsvoorstel Veegwet 2015, Tweede Kamer, vergaderjaar 2014–2015, 34 191, nr. 2. 64 Zie hierover ook de toelichting bij artikel 11 lid 1 van dit reglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

48

Page 49: Privacyreglement Gecertificeerde Instelling versie 2.0

Lid 2 Vernietiging kan in twee gevallen worden geweigerd: als met het bewaren een aanmerkelijk belang van een ander dan de verzoeker gediend is of als een wettelijke bepaling zich tegen vernietiging verzet. Bij de eerste grond kan gedacht worden aan het belang van een broer(tje) of zus(je) van de verzoeker dat zich kan verzetten tegen vernietiging van het dossier. Onder een aanmerkelijk belang van een ander kan ook het belang van de gecertificeerde instelling vallen. Hierbij kan worden gedacht aan het niet vernietigen van gegevens met het oog op procesrisico’s. Het aanhangig zijn van een procedure op het moment dat een vernietigingsverzoek wordt ingediend, kan een grond zijn om het verzoek af te wijzen. De tweede grond betreft bijvoorbeeld de wettelijke plicht van de gecertificeerde instelling om de dossiers die in het kader van de ondertoezichtstelling, de voogdij en de uitvoering van de taken op het gebied van jeugdreclassering zijn aangelegd te bewaren gedurende in ieder geval 15 jaar. De wettelijke plicht van de gecertificeerde instelling om deze dossiers gedurende deze periode te bewaren gaat vóór het recht van een betrokkene op vernietiging van het dossier. De gecertificeerde instelling maakt nadat een verzoek tot vernietiging is ingediend, altijd een belangenafweging. Het belang van de betrokkene om de gegevens te laten vernietigen wordt dan afgewogen ten opzichte van het belang van deze gegevens voor een ander dan de verzoeker, zoals de andere kinderen in het gezin. Ook wordt het belang van de betrokkene afgewogen in het geval het bewaren van de gegevens van belang kan zijn in verband met het beëindigen van een mogelijke situatie van kindermishandeling of voor de situatie waarbij een maatregel met betrekking tot het gezag overwogen dient te worden. De aard, ernst en omstandigheden van het geval en de te vernietigen gegevens spelen bij die afweging een rol. Geconcludeerd kan worden dat het recht op vernietiging van betrokkenen alleen optimaal kan worden geëffectueerd ten aanzien van dossiers die in het kader van vrijwillige hulpverlening en jeugdreclassering zijn aangelegd. De gecertificeerde instelling zal verzoeken om vernietiging van dossiers op het gebied van ondertoezichtstelling en voogdij, die worden gedaan tijdens de wettelijk voorgeschreven bewaartermijn, namelijk afwijzen omdat de wet (dat wil zeggen de wettelijke bewaartermijn) zich gedurende die periode tegen vernietiging verzet. Lid 3 en 4 Het recht om vernietiging te vragen komt niet toe aan jeugdigen jonger dan twaalf jaar en aan jeugdigen die ouder zijn dan twaalf jaar, maar niet in staat kunnen worden geacht tot een redelijke waardering van hun belangen ter zake. Dit sluit aan op de regeling van het inzagerecht.65 In deze gevallen kan het verzoek door de wettelijk vertegenwoordiger, zoals de met gezag belaste ouder(s) of de voogd, worden gedaan als het gaat om een minderjarig. In de situatie dat het een meerderjarige cliënt betreft die niet in staat kan worden geacht tot een redelijk waardering van zijn belangen terzake bepaalt de Jeugdwet in artikel 7.3.15 wie in dat geval het verzoek kunnen doen.

65 Zie hierover de toelichting bij artikel 11 lid 2 en 3 van dit reglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

49

Page 50: Privacyreglement Gecertificeerde Instelling versie 2.0

6. Overige bepalingen Artikel 20. Klachten en rechtbescherming Indien de cliënt of een andere betrokkene klachten heeft over de wijze waarop hij is bejegend in verband met bepalingen van dit reglement kan hij zich wenden tot (de klachtencommissie van) de gecertificeerde instelling. Tevens kan de betrokkene indien hij van mening is dat de bepalingen uit dit reglement niet op een juiste wijze zijn uitgevoerd zich desgewenst binnen zes weken na het antwoord van de gecertificeerde instelling wenden tot de burgerlijke rechter conform artikel 46 Wbp, dan wel het College bescherming persoonsgegevens conform artikel 47 Wet bescherming persoonsgegevens verzoeken te bemiddelen of te adviseren in zijn geschil met de gecertificeerde instelling. Toelichting Indien een betrokkene ontevreden is over de toepassing van het privacyreglement door de gecertificeerde instelling, kan hij zich wenden tot de betrokken medewerker dan wel diens leidinggevende. Uiteindelijk kan de betrokkene zich wenden tot de klachtencommissie van de gecertificeerde instelling. De betrokkene moet altijd eerst de gecertificeerde instelling in de gelegenheid stellen om te voldoen aan een verzoek tot bijvoorbeeld inzage in of correctie van persoonsgegevens, voordat de betrokkene zich tot de rechter wendt. Indien de betrokkene dat niet doet dan wel niet reageert, kan terugverwijzing door de rechter naar de gecertificeerde instelling het gevolg zijn. Indien een betrokkene het niet eens is met beslissingen van de gecertificeerde instelling, ten aanzien van inzage, afschrift en correctie, kan hij zich binnen zes weken na het antwoord van de gecertificeerde instelling wenden tot de burgerlijke rechter. In tegenstelling tot de Wjz ontbreekt een expliciete bepaling in de Jeugdwet over de rechtsbescherming als betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd. Op dit moment (juni 2015) ligt er bij de Raad van State een tweede Veegwet van VWS waarin ook een vergelijkbare bepaling als artikel 105 Wjz in is opgenomen. Zolang een dergelijke bepaling nog ontbreekt kan op grond van het volgende worden geconcludeerd dat artikel 46 Wbp van toepassing is. De gecertificeerde instelling valt niet aan te merken als een zogenaamde a-orgaan (= een orgaan dat krachtens publiekrecht is ingesteld) in de zin van Awb is en de beslissingen die de gecertificeerde instelling neemt over bijvoorbeeld kennisneming, correctie e.d. zijn daarom niet aan te merken als besluiten in de zin van de Awb. Daarnaast bevat paragraaf 7.3 van het wetsvoorstel zeer belangrijke bepalingen over het toestemmingsvereiste, het dossier en de bescherming van de privacy. Hieruit volgen verplichtingen voor de hulpverlener (in dit verband wordt hieronder zowel de jeugdhulpverlener als de medewerker van een gecertificeerde instelling begrepen, zie ook artikel 7.3.1) jegens de jeugdigen en ouders met wie zij te maken krijgen bij het verlenen van jeugdhulp of in het kader van de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering. Deze regels zien op de relatie tussen hulpverleners en jeugdigen of ouders. De verplichtingen van hulpverleners vloeien rechtstreeks voort uit deze wet. Het overtreden van een wettelijke bepaling door een hulpverlener kan ook leiden tot civielrechtelijke aansprakelijkheid voor de betreffende aanbieder of instelling, mits die aanbieder of instelling verwijtbaar is tekortgeschoten. Publiekrechtelijk toezicht op de naleving wordt uitgevoerd door de inspectie, maar daarnaast kunnen betrokkenen zelf ook gebruik maken van de interne klachtenbehandeling en kunnen zij (of eventueel een belangenorganisatie) de naleving van de wettelijke bepalingen afdwingen langs privaatrechtelijke weg via de civiele rechter. Dit houdt in dat deze beslissingen worden gezien als genomen ‘door een ander dan een bestuursorgaan’ en de rechtsbescherming van artikel 46 Wbp van toepassing is. 66

66 Er is hierover navraag gedaan bij wetgevingsjuristen van de ministeries Veiligheid en Justitie en VWS (en aangedrongen op het opnemen van een soortgelijke bepaling als artikel 105 Wjz). Het standpunt alsmede de gegeven reden hiervoor is in dit reglement gevolgd en overgenomen. De rechtbank Zutphen kwam echter tot het oordeel dat bij een verzoek van de ouder om inzage in het dossier van de jeugdige van 16 jaar en ouder de bestuursrechtelijke weg gevolgd zou moeten worden, zie ECLI:NL:RBZUT:2007:BA7799

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

50

Page 51: Privacyreglement Gecertificeerde Instelling versie 2.0

De gang naar de bestuursrechter is hierdoor uitgesloten. De procedure bij de civiele rechter is een gewone verzoekschriftprocedure, met het verschil dat geen advocaat nodig is. De rechter kan direct uitspraak doen of eerst nog advies inwinnen bij het College bescherming persoonsgegevens. Tevens kan de rechter als sanctie bij niet-nakoming de gecertificeerde instelling een dwangsom opleggen. Naast de verzoekschriftprocedure is een beroep op de rechter via de dagvaardingsprocedure mogelijk. Het gaat dan om een procedure op basis van onrechtmatige daad, te weten onrechtmatig verstrekte informatie aan derden. Voor het voeren van een dagvaardingsprocedure is de bijstand van een advocaat vereist. Als de betrokkene wil voorkomen dat de gecertificeerde instelling informatie aan een derde verstrekt, dient deze de gecertificeerde instelling eerst schriftelijk te sommeren de informatie niet te verstrekken. Blijft de gecertificeerde instelling bij zijn voornemen de informatie te verstrekken, dan kan de betrokkene proberen door middel van een kort geding bij de voorzieningenrechter van de rechtbank de informatieverstrekking tegen te houden op straffe van een dwangsom. Op grond van de redelijkheid en billijkheid mag verwacht worden dat de gecertificeerde instelling zich beraadt over de vraag of het verstrekken van informatie nog enig uitstel kan dulden in afwachting van de beslissing in kort geding. Tuchtrecht Geregistreerde medewerkers van de gecertificeerde instelling vallen onder het ‘tuchtrecht’. Dit houdt in dat een cliënt er ook voor zou kunnen kiezen een klacht bij het College van Toezicht van het Kwaliteitsregister Jeugd in te dienen als hij van mening is dat de medewerker in strijd met een bepaling van de beroepscode heeft gehandeld. Ingevolge het reglement van het College van Toezicht van het SKJ zijn gerechtigd tot het indienen van een klacht: a. Een ieder, die betrokken is bij een handelen of nalaten van een jeugdprofessional en daar een (rechtstreeks) belang bij heeft; b. Inspectie Jeugdzorg Zie voor verdere informatie www.skjeugd.nl. CBP Ten slotte kan een betrokkene maar ook de gecertificeerde instelling de bemiddeling van het College Bescherming Persoonsgegevens (CBP inroepen of het CBP om advies vragen (Postbus 93374, 2509 AJ Den Haag, tel. 0900-2001201, www.cbpweb.nl). Het CBP zal met name naar de juridische privacyaspecten van een zaak kijken. Vooral als men niet zeker is van de uitleg van wettelijke bepalingen en de vertaling daarvan in reglementen, kan een advies van het CBP uitkomst bieden. Het CBP heeft geen rechtscheppende bevoegdheden. Ten aanzien van de bemiddeling door het CBP bij klachten moet worden opgemerkt dat het CBP aangeeft terughoudend te zijn met het in behandeling nemen van een klacht, indien de betrokkene zich niet in eerste instantie heeft gewend tot de gecertificeerde instelling of de klachtencommissie. Jurisprudentie Enkele uitspraken inzake verzoeken om vernietiging dossier, wijziging gegevens e.d. zijn:

- Gerechtshof ‘s- Hertogenbosch, 27 mei 2009, ECLI:NL:GHSHE:2009:BI6357: De Wbp strekt er niet toe om inhoudelijk te toetsen of persoonsgegevens onjuist zijn. Correctie is alleen mogelijk bij op eenvoudige en objectieve wijze vast te stellen onjuistheden. Verwijderen betekent nog niet vernietigen. Verwijdering met terugwerkende kracht is niet mogelijk.

- Rechtbank Midden-Nederland, 9 januari 2013, ECLI:NL:RBMNE:2013:BY8967: Op het onderzoeksverslag is een op zichzelf staande rechtsgang van toepassing, namelijk de verzoekschriftprocedure uit artikel 46 lid 1 Wbp.

- Rechtbank Amsterdam, 24 februari 2011, ECLI:NL:RBAMS:2011:BQ0886: Verzoek vernietiging van de ten aanzien van verzoeker in het AMK-dossier verwerkte persoonsgegevens afgewezen. Toetsingskader: artikel 55 en 56 Wet op de jeugdzorg (Wjz). De rechtbank acht het belang van het kind aanmerkelijk. Het belang van het kind bij bewaring van het AMK-dossier weegt zwaarder dan het belang van verzoeker.

Artikel 21. Melding van verwerking van gegevens

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

51

Page 52: Privacyreglement Gecertificeerde Instelling versie 2.0

De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens door de gecertificeerde instelling is gemeld bij het College bescherming persoonsgegevens. Toelichting De gecertificeerde instelling is op grond van de Wbp verplicht om de verwerking van persoonsgegevens te melden bij het College. Artikel 22. Slotbepaling 1. Dit reglement is per 1 januari 2015 van kracht en vervangt de voorgaande

privacyreglementen. 2. Wijziging of aanvulling van dit reglement vindt slechts plaats, na goedkeuring van de

branchecommissie van de gecertificeerde instellingen en met inachtneming van de door de wetgever gestelde regels.

3. Desgevraagd verstrekt de gecertificeerde instelling tegen kostprijs een afschrift van dit reglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

52

Page 53: Privacyreglement Gecertificeerde Instelling versie 2.0

TRANSPONERINGSTABEL In onderstaande transponeringstabel is vermeld op welke wettelijke bepaling het betreffende artikel(lid) van het privacyreglement is gebaseerd. Reglement Jeugdwet Wbp Overig 1 a 1 a 1 b 16 1 c 1.1 1 d 1.1 1 e 1 f 1 f 1 f 1 g 4 1 c 1 h 1 d 1 i 1 e 1 j 1 b 1 k 1 n 1 l 1 i 1 m 7.3.15 1 n 1 o 2.6 en 4.1.9 1 p 4.1 Wmo 2015 2 2 lid 1 3 1.1. en 3.2 4 7.3.11 5 33, 34 6 7 7 lid 1 6 7 lid 2 7, 9 7 lid 3 11 8 lid 1 8 8 lid 2 7.3.8 9 lid 1 7.3.8 16 9 lid 2 7.3.8 21, lid 1 sub d en

lid 3

10 6 139a e.v. WvSr 11 lid 1 7.3.10 11 lid 2 7.3.15 lid 1 11 lid 3 7.3.15 lid 2 en 3 11 lid 4 7.3.10 en 7.3.11 lid 3 11 lid 5 7.3.10 11 lid 6 11 Wob (analoog) 12 lid 1 35, 37 12 lid 2 37 lid 2 13 lid 1 39 Besl.

Kostenvergoeding Wbp

13 lid 2 7.3.10 39 Idem 13 lid 3 Idem 14 lid 1 36 lid 1 14 lid 2 37 lid 3 14 lid 3 36-39 15 lid 1 7.3.11 lid 1 15 lid 2 7.3.15 lid 1 15 lid 3 7.3.15 lid 2 en 3 15 lid 4 7.3.11 lid 2

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

53

Page 54: Privacyreglement Gecertificeerde Instelling versie 2.0

15 lid 5 7.3.11 lid 3 15 lid 6 1:240 BW 15 lid 7 7.3.11 lid 15 lid 8 8 15 lid 9 15 lid 10 11 Wob (analoog) 16 lid 1 7.3.12 lid 1 16 lid 2 7.3.12 lid 2 16 lid 3 7.3.12 lid 3 17 lid 1 7.4.1 t/m 7.4.3. 17 lid 2 7.4.1. t/m, 7.4.3. 17 lid 3 7.4.4 lid 1 17 lid 4 7.5.3 lid 2 Besluit

Jeugdwet 17 lid 5 8 7.5.3 lid 1 Besluit

Jeugdwet 18 lid 1 18 lid 2 7.3.8 lid 3 18 lid 3 7.3.8 lid 3 18 lid 4 7.3.8 lid 2 19 lid 1 7.3.9 lid 1 19 lid 2 7.3.9 lid 2 19 lid 3 7.3.15 lid 1 t/m 3 19 lid 4 7.3.15 lid 1 t/m 3 20 46,47 21 27 22

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

54

Page 55: Privacyreglement Gecertificeerde Instelling versie 2.0

Literatuurlijst • Baeten, P. en Janssen, L., Spelregels voor samenwerkingsverbanden huiselijk geweld, NIZW,

Utrecht 2002; • Baeten, en Janssen, L., Samenwerking en beroepsgeheim. Juridische mogelijkheden voor het

uitwisselen van gegevens bij de aanpak van huiselijk geweld, NIZW, Utrecht 2002; • Berkvens, J.M., & Horst van der, R.J.M. (redactie), Wet bescherming persoonsgegevens.

Leidraad voor de praktijk, Kluwer, Deventer; • Blarkom, G.W. van en Borking, drs. J.J., Beveiliging van persoonsgegevens, april 2001,

Registratiekamer, achtergrondstudies en verkenningen 23; • Bosch, H. van den, Privacyreglement in praktijk. Omgaan met persoonlijke gegevens in de

jeugdzorg, Stichting Vedivo, Utrecht 1996; • Hofman, J.A., Openbaarheid van bestuur, Ars Aequi Libri, Nijmegen 1998; • Richtlijnen voor het (laten) verrichten van extern onderzoek, Staatscourant 1996, nr. 68, p.

10; • Hooghiemstra, T.F.M., Teksten en toelichting op de Wet bescherming persoonsgegevens,

Koninklijke Vermande, Lelystad 2001; • Janssen, L., Omgang met cliëntgegevens in de jeugdzorg. Over dossiervorming, inzage en

verstrekken van cliëntgegevens, ministerie van Volksgezondheid, Welzijn en Sport, Den Haag september 2003;

• KNMG e.a., Het beroepsgeheim in samenwerkingsverbanden. Een wegwijzer voor zorgprofessionals, december 2014;

• Ministerie van Binnenlandse zaken en Koninkrijksrelaties, Zorgvuldig en bewust. Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein, mei 2014;

• Ministerie van Veiligheid en Justitie, Normenkader ten behoeve van certificering van uitvoerende organisaties voor Jeugdbescherming en Jeugdreclassering versie 1.0, juni 2014

• Nouwt, S., Gemeentezorg en privacyzorgen, Nederlands Juristenblad 5 december 2014, aflevering 42 pagina 2993 e.v.

• Privacycare, Privacy Impact Assessment. In verband met gegevensverwerking bij de uitvoering van de Jeugdwet door gemeenten, 26 oktober 2014;

• Samenwerkingsverband Implementatiewetgeving WGBO, Van wet naar praktijk. Implementatie van de WGBO. Deel 4 Toegang tot Patiëntengegevens, juni 2004

• Sauerwein, L.B., Modelconvenant over de gegevensuitwisseling tussen partijen betrokken bij het criminaliteitspreventiebeleid in gemeenten, ministerie van Justitie en ministerie van Binnenlandse Zaken, Den Haag mei 2002;

• Sauerwein, L.B. & Van Oosten Slingeland, Handreiking voor gemeenten over privacyaspecten bij criminaliteitspreventie.

• Stelselwijziging Jeugd, Privacy informatie folder, bijlage 1, jaar van uitgifte: 2014 EHRM 7 juli 1989, NJ 1991, 659; HR 25 juni 1993, NJ 1994, 140; HR 24 januari 2003, LJN-nummer: AF0148, zaaknummer C01/143HR. Raad van State 26 maart 2008, ECLI:RVS:2008:BC7603 Gerechtshof ’s-Hertogenbosch, 27 mei 2009, ECL:NL:GHSHE:2009:BI6357 Rechtbank Midden-Nederland, 9 januari 2013, ECLI:NL:RBMNE:2013:BY8967 Raad van State 6 maart 2013, ECLI:NL:RVS:2013:BZ3368 Tweede Kamer, vergaderjaar 2013-2014, 33 684 (wetsvoorstel Jeugdwet) Tweede Kamer, vergaderjaar 2014–2015, 34 191 (wetsvoorstel Veegwet VWS 2015)

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

55

Page 56: Privacyreglement Gecertificeerde Instelling versie 2.0

BIJLAGE I PRIVACYREGLEMENT GECERTIFICEERDE INSTELLING Richtlijn ‘Feiten volledig en naar waarheid aanvoeren’

In artikel 3.3. Jeugdwet is bepaald dat de Raad voor de Kinderbescherming en de gecertificeerde instellingen verplicht zijn om in rapportages of verzoekschriften de van belang zijnde feiten volledig en naar waarheid aan te voeren. De wetgever heeft deze bepaling aan de Jeugdwet toegevoegd, omdat de wetgever het van belang acht dat bij een ingrijpende maatregel zoals een kinderbeschermingsmaatregel de kinderrechter de zaak zoveel als mogelijk kan beoordelen op basis van feiten. De verplichting die uit dit artikel volgt houdt in dat de gecertificeerde instellingen zich moeten richten op het verzamelen van feiten, gebeurtenissen en omstandigheden die objectiveerbaar zijn. Dit geldt voor rapportages en voor de verzoekschriften, maar ook voor de overige onderdelen van een cliëntdossier. De besluitvorming in de rapportage dient te zijn onderbouwd, waarbij feiten, visies van betrokkenen en de interpretaties van de gecertificeerde instelling duidelijk zijn gescheiden.67 Dit geldt niet alleen in geval van een kinderbeschermingsmaatregel maar ook voor de rapportages van de jeugdreclassering of als de gecertificeerde instelling in het vrijwillig kader wordt ingezet. Zowel het College Bescherming Persoonsgegevens (CBP) als de Kinderombudsman heeft naar aanleiding van onderzoeken kritische bevindingen gedaan over de kwaliteit van de rapportages en de wijze waarop door de Bureaus Jeugdzorg wordt omgegaan met de ‘privacymaatregelen’. Het CBP heeft in een persbericht opgemerkt het van groot belang te achten dat de informatie waarmee Bureau Jeugdzorg werkt juist en nauwkeurig is, omdat de mensen om wie het gaat, te weten jongeren en hun ouders, zich in een afhankelijke positie ten opzichte van Bureau Jeugdzorg bevinden.68 Maar hoe nu te komen tot een rapportage en verzoekschrift dat voldoet aan het vereiste dat ‘de van belang zijnde feiten volledig en naar waarheid worden aangevoerd’? In deze richtlijn worden hiervoor aan de medewerker handvatten geboden. Het is aan de gecertificeerde instelling om te bekijken of en zo ja op welke wijze deze richtlijn in het werkproces wordt geïmplementeerd.69 Kwaliteit rapportage/verzoekschrift Eerst een algemene opmerking vooraf over de kwaliteit van een rapportage en verzoekschrift. Voor een goede rapportage of een verzoekschrift is naast hetgeen hieronder wordt besproken ook het volgende van belang:

- transparantie naar de cliënt - correct taalgebruik; - het moet voor iedereen leesbaar en begrijpelijk zijn wat er staat. Mijdt vakjargon of leg uit

wat hiermee wordt bedoeld toegespitst op de situatie van de cliënt; - wees zo concreet en feitelijk mogelijk en schrijft alles zo op dat er geen misverstand kan

bestaan over wat er mee wordt bedoeld; - de rapportage moet overzichtelijk en volledig zijn. Duidelijk moet zijn welke informatie op

welke periode betrekking heeft en wat de meeste recente informatie is; - de mening van de ouders en jeugdige moet vermeld staan; - onderbouw een standpunt of verzoek;

67 Tweede Kamer, vergaderjaar 2013–2014, 33 684, nr. 32 68 Zie het persbericht ‘privacymaatregelen Bureaus Jeugdzorg onvoldoende’ van het CBP van 19 februari 2015 en het rapport van de Kinderombudsman ‘Is de zorg gegrond? Analyse van het feitenonderzoek aan de basis van ingrijpende jeugdzorgbeslissingen’, december 2013. 69 Op grond van de Wbp dient de organisatie te beschikken over een officieel vastgestelde werkwijze waarmee afdoende wordt gewaarborgd dat persoonsgegevens die door de organisatie worden verwerkt, gelet op de doeleinden waarvoor zij worden gebruikt, juist en nauwkeurig zijn. Deze richtlijn kan hiervoor gebruikt worden.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

56

Page 57: Privacyreglement Gecertificeerde Instelling versie 2.0

- bij gebruik van informatie uit een eerdere rapportage of oud verzoekschrift: neem geen informatie over die niet (meer) relevant of correct is en

- de datum waarop de rapportage is vastgesteld moet vermeld staan.

De juistheid van gegevens Feiten, gebeurtenissen en omstandigheden moeten volgens de wetgever objectiveerbaar zijn. Wat houdt dit nu in? En moet een medewerker nu wel of niet aan waarheidsvinding doen? Eerst zal stil worden gestaan bij het begrip ‘waarheidsvinding’. Waarheidsvinding Wat houdt nu eigenlijk het begrip ‘waarheidsvinding’ in? Aan het begrip waarheidsvinding in de jeugdzorg heeft de Kinderombudsman in het rapport “Is de zorg gegrond?” uitgebreid aandacht besteed. Er staat in het rapport hierover onder meer het volgende vermeld: “dat waarheidsvinding in het belang van het kind is en onmisbaar is voor een professionele belangenafweging in de jeugdbescherming. Met het begrip waarheidsvinding bedoelen wij niet het strafrechtelijke begrip waarheidsvinding. [...] In het jeugdrecht moet waarheidsvinding op een andere manier worden ingevuld. Het achterhalen van de waarheid is immers niet altijd mogelijk. Het zo volledig mogelijk reconstrueren van de feiten is echter nodig om te kunnen beoordelen welke zorg het kind nodig heeft.” De Nationale ombudsman stelt dat BJZ en de Raad binnen de grenzen van het redelijke alles moeten doen om de waarheid te achterhalen, wanneer de betreffende informatie van doorslaggevend belang is bij het nemen van ingrijpende beslissingen.(…) “Het belang van waarheidsvinding in de jeugdzorg is groot, maar heeft zeker geen absolute betekenis. [...] De afweging van enerzijds het belang en de veiligheid van het kind en anderzijds van de waarheidsvinding zal altijd bewust gemaakt moeten worden door BJZ of de Raad.”70 De Nationale ombudsman stelt dat waarheidsvinding geen absolute betekenis heeft. Waarheidsvinding kan zelfs onwenselijk zijn, bijvoorbeeld als intensief onderzoek voor een kind belastend is. Dat vergt continu een belangenafweging (…)”. Van belang is dat de medewerker de feiten verzameld en dat van de feitelijke juistheid van de gegevens die in een verzoekschrift of rapportage staan vermeld kan worden uitgegaan. Daar kan voor nodig zijn dat een medewerker onderzoekt/laat onderzoeken wat de (juiste) feiten zijn. Dit kan bijvoorbeeld door het voeren van gesprekken met verschillende betrokkenen of de jeugdige te laten onderzoeken door een arts. Soms valt niet of moeilijk vast te stellen wat de feitelijk juiste feiten zijn. Zoals in het geval van een complexe scheiding, waarbij de ouders een verschillende beleving van de waarheid hebben. Van de medewerker kan niet worden verwacht dat hij uitzoekt wie van de ouders gelijk heeft (let op: ouders verwachten dat vaak wel, dus het is belangrijk hierover met de ouders in gesprek te gaan). Van belang is om in een dergelijke situatie de werkelijkheid van de opvoedsituatie rond het kind, qua ontwikkeling en veiligheid, zo goed mogelijk na te gaan. Signalen en ook beschuldigingen over en weer moeten dus wel serieus genomen.71 Feitelijke juistheid van de gegevens De feitelijke juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt. Op (medewerkers van) de gecertificeerde instellingen rust de verplichting om de opgedragen taken72 doeltreffend en verantwoord uit te voeren. Daarvoor is het noodzakelijk dat de verslaglegging in het cliëntdossier een zo waarheidsgetrouw mogelijk beeld geeft van de situatie van de jeugdige, de ouders en andere betrokkenen. Dit is ook van belang voor het nemen van beslissingen die zowel door de gecertificeerde instelling als door de (kinder)rechter worden genomen. Gelet op het vorenstaande worden persoonsgegevens die zijn opgenomen in het

70 Het CBP heeft in een reactie op het privacyreglement en deze werkinstructie opgemerkt dat de wijze waarop deze zin is geformuleerd de suggestie werkt alsof er een tegenstelling is tussen enerzijds de waarheidsvinding en anderzijds het belang van het kind, terwijl dit twee verschillende zaken zijn die soms ook in elkaar verlengde kunnen liggen. 71 Zie ook de reactie van Jeugdzorg Nederland op het rapport van de Kinderombudsman ‘Is de zorg terecht?’ 72 Zie artikel 3 Privacyreglement gecertificeerde instelling

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

57

Page 58: Privacyreglement Gecertificeerde Instelling versie 2.0

cliëntdossier als juist en nauwkeurig aangemerkt als zij op waarde kunnen worden geschat. Wanneer is hier sprake van? Om persoonsgegevens op waarde te kunnen schatten zijn de volgende aspecten van belang: 1. Onderscheid harde/zachte gegevens ( feiten/meningen): duidelijk moet zijn wat de

feiten zijn, of alle betrokkenen het wel/niet eens zijn met deze feiten en wanneer het om een mening/visie/vermoeden gaat;

2. Bronvermelding en actuele gegevens: kenbaar moet zijn wat de bron van informatie is en hoe actueel de gegevens zijn;

3. Verifiëren verklaring van derden (niet zijnde de jeugdige of de met gezag belaste ouder): duidelijk moet zijn van wie de informatie afkomstig, hoe en wanneer de informatie is verkregen;

4. Reactie cliënt: kenbaar moet zijn wat de reactie van de cliënt is op informatie

5. Markeren onjuiste gegevens: als in rapportages, verzoekschriften e.d. informatie is opgenomen waarvan op een later moment blijkt dat deze niet juist is, moet dit duidelijk kenbaar in het dossier zijn en de onjuiste informatie niet verder wordt verwerkt.

Hierna zal per onderdeel worden genoemd welke stappen gezet kunnen worden gezet door een medewerker om er op een juiste manier mee om te gaan 1. ONDERSCHEID HARDE/ZACHTE GEGEVENS (FEITEN/MENINGEN)

Van belang is dat in het dossier, in een rapportage en in een verzoekschrift duidelijk is wat de feiten zijn, of alle betrokkenen het wel/niet eens zijn met deze feiten en wanneer het om een mening/visie/vermoeden gaat. Dit wordt ook wel genoemd het maken van een onderscheid tussen harde en zachte gegevens. Harde gegevens zijn gegevens die zijn geverifieerd (dus bij degene die de informatie heeft verstrekt is nagevraagd of de informatie zoals die is vastgelegd klopt) en/of waarover geen verschil van mening kan bestaan en om die reden kunnen worden gezien als ‘feiten’ Voorbeelden hiervan zijn: een geboortedatum, door wie het ouderlijk gezag wordt uitgeoefend, een uitspraak van een rechter, een strafrechtelijke veroordeling, een (medisch) onderzoek dat is gedaan of het gegeven dat ouders gescheiden zijn en zij niet tot overeenstemming kunnen komen over de hoofdverblijfplaats van de kinderen. Zachte gegevens zijn gegevens waarbij het om meningen en/of vermoedens gaat. Een voorbeeld ter illustratie: Een medewerker gaat op huisbezoek en heeft de indruk dat een ouder gedronken heeft. De medewerker noteert over dit huisbezoek ”ik ben op huisbezoek geweest en de ouder was weer dronken”. Het dronken zijn wordt op deze manier ten onrechte als een feit gepresenteerd. Van belang is te noteren dat de medewerker het vermoeden had de ouder onder invloed van alcohol is en wat de reden van dit vermoeden is. Een ander voorbeeld: Ouders zijn gescheiden en de moeder vertelt de medewerker tijdens een gesprek op kantoor dat de vader hun dochter seksueel heeft misbruikt. Hoe schrijf je zoiets op? Als je schrijft ‘‘er zijn vermoedens van seksueel misbruik door de vader” is dit dan conform de informatie die je hebt gekregen? En hoe komt dit over bij de lezer? Van belang is dat duidelijk is wie de bron van de informatie is en dat wordt benoemd of het om een feit of mening/vermoeden gaat. Dus genoteerd zou dan moeten worden: “De moeder heeft tijdens een gesprek op kantoor d.d….. te kennen gegeven dat de vader hun dochter seksueel heeft misbruikt”. Het gegeven dat de moeder dat heeft gezegd kan als een feit worden gezien, maar de gegeven informatie door moeder is haar mening/vermoeden. Verschil tussen feiten en meningen kort gezegd: Feit : informatie die je zeker weet, kunt controleren en bewijzen, die concreet is en die

je niet kunt weerleggen. Mening : wat je vindt of denkt over iets, wat je kunt ondersteunen met argumenten: Ik

vind dit, want… en waarover je van mening kunt verschillen of veranderen.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

58

Page 59: Privacyreglement Gecertificeerde Instelling versie 2.0

INSTRUCTIE Zorg in de rapportage en/of het verzoekschrift dat voor de lezer duidelijk is wat de feiten en wat de meningen van de cliënt en die van de gecertificeerde instelling is. Hierbij is ook van belang dat duidelijk is op wie de feiten en de mening betrekking hebben. Een voorbeeld: Er is een ots uitgesproken, omdat de omgang tussen de vader en kinderen zeer moeizaam verloopt. De oorzaak hiervan is volgens de gecertificeerde instelling de vader zelf omdat hij gemaakte afspraken niet nakomt en steeds nieuwe voorwaarden stelt aan de invulling van de omgangsregeling. Verder blijft de communicatie tussen de ouders moeizaam verlopen. Van belang is dat in de rapportage of het verzoekschrift duidelijk wordt vermeld wat: - de feiten zijn (bijvoorbeeld de omgangsregeling is op die en die data niet doorgegaan en

de reden hiervan is dat de vader per mail heeft bericht dat hij moest werken) - de meningen zijn: wat vindt de vader van de bevinding dat de gecertificeerde instellingen

dat de wijze waarop hij zich opstelt als oorzaak wordt gezien voor het niet goed verlopen van de omgangsregeling? En wat vinden de moeder en kinderen hiervan? Let hierbij goed op dat duidelijk is wie welke mening heeft.

- bij het weergeven van de bevindingen van de gecertificeerde instelling ook duidelijk is op wie wat betrekking heeft. Dus niet vermelden dat de omgangsregeling door toedoen van de ouders nog steeds moeizaam verloopt, maar benoemen wie hier welk aandeel in heeft.

In rechterlijke uitspraken zie je dit onderscheid ook terugkomen. Hierbij wordt onderscheid gemaakt tussen: - De feiten - Mening/standpunt belanghebbende - Oordeel rechter

Hieronder wordt ingegaan op de bronvermelding en reactie van de cliënt is.

2. BRONVERMELDING EN ACTUELE GEGEVENS:

Kenbaar moet zijn: - Wat de bron van persoonsgegevens is: dus van wie heb je de informatie gekregen. - Als de bron niet wordt/kan worden weergegeven dient vermeld te worden wat hiervan de

reden is (bijvoorbeeld de veiligheid van degene die de informatie heeft gegeven of het kind) en

- Of gegevens actueel zijn en dat duidelijk is op welke periode de gegevens betrekking hebben. Kenbaar moet zijn of het om actuele informatie gaat of om informatie van bijvoorbeeld een jaar geleden. Gegevens dienen te worden gedateerd (d.w.z. dat er vastgelegd wordt op welke datum de gegevens verkregen zijn en op welke periode de gegevens betrekking hebben). Het CBP schrijft voor dat regelmatig de actualiteit van de gegevens moet worden gecontroleerd. Hiermee is met de eigen rapportage-eisen (herzien Plan van Aanpak/gezinsplan in geval van gewijzigde omstandigheden en jaarlijkse rapportage) volgens het CBP niet voldaan. Of de informatie nog actueel is moet dus met regelmaat worden gecontroleerd (dus zelf ook bij derden de informatie controleren op actualiteit). INSTRUCTIE: Leg vast op die en die datum heb ik die en die informatie verkregen van die en die persoon (van die en die instantie) met die en die relatie tot de cliënt, de informatie heeft betrekking op gebeurtenissen in die en die bepaalde periode. Hierbij kan het ook gaan om informatie tussen professionals (collega’s onderling) en of de informatie intern dient te blijven of niet, hetgeen dan ook vastgelegd dient te worden. Gegevens ouder dan twee jaar dienen terughoudend te worden gebruikt. Bij deze gegevens moet eerst worden nagegaan of ze nog actueel en van toepassing zijn. Psychologische tests hebben over het algemeen een geldigheid van 2 jaar, tenzij het om een life-time diagnose gaat b.v. klassiek autisme. (Raadpleeg in dat geval je gedragswetenschapper!)

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

59

Page 60: Privacyreglement Gecertificeerde Instelling versie 2.0

Op welk moment moet de actualiteit van informatie worden gecheckt? Het is moeilijk om in algemene zin te bepalen wat de geldigheidsduur van informatie is en op welk moment bij de informant nagevraagd moet worden of de gegeven informatie nog actueel is. Van belang is dat op het moment dat informatie in de besluitvorming wordt betrokken duidelijk is of de gegeven informatie nog actueel is. Des te meer tijd er verstrijkt tussen het moment waarop de informatie is ontvangen en het moment waarop de informatie in de besluitvorming wordt meegewogen, des te meer de noodzaak van het checken op het nog actueel zijn van de informatie toe toeneemt.

3. VERIFIËREN/ACCORDEREN VERKLARING VAN DERDE (niet zijnde de jeugdige of de

met gezag belaste ouder)

Een eerste opmerkingen hierbij is, dat het belang van accordering door een derde van de weergave van de door hem gegeven informatie toeneemt naarmate deze verklaring een grotere invloed heeft op de beeldvorming omtrent de situatie van de jeugdige en zijn ouders. Wanneer informatie van een derde wordt gebruikt in processtukken, dan wel voor het nemen van een kernbeslissing dient bronvermelding plaats te vinden: • van wie is de informatie afkomstig (naam, functie, relatie tot cliënt), • hoe is de informatie verkregen (uit gesprek, verslag, ronde tafeloverleg), • wanneer is de informatie verkregen, • is de informatie wel/niet geverifieerd en geaccordeerd (dus moeten twee stappen worden

gemaakt: 1- het vragen van de derde om de weergave van de gegeven informatie en 2. de accordering hiervoor door deze persoon).

• op welke datum is de informatie besproken met de cliënt en • wat was diens reactie?

A. Verwerken mondelinge verklaringen: Bij een door een medewerker van de gecertificeerde instelling opgestelde verklaring van derden, die wordt gebruikt voor het opstellen van processtukken dan wel voor het nemen van een kernbeslissing, wordt in het dossier opgenomen of de derde akkoord is met de weergave ervan zoals die door de medewerker is opgesteld. De informatie wordt dus geverifieerd. Het gaat hier niet om verklaringen van derden die door bijvoorbeeld de Raad voor de Kinderbescherming zijn opgesteld en in de raadsrapportage zijn verwerkt, maar om een verklaring die door een medewerker van de gecertificeerde instelling zelf is opgesteld bijvoorbeeld na een telefoongesprek met een informant zoals de huisarts of school. Het is van belang dat de informant het eens is met de samenvatting die door de medewerker van het gesprek wordt gemaakt. Indien de informatie niet is geverifieerd en/of geaccordeerd bij de derde dient in het dossier te worden vastgelegd waarom dit niet is gebeurd. Wat als: - er snel moet worden gehandeld? In sommige gevallen zal in het belang van het kind snel

moeten worden gehandeld en is er geen tijd om de informatie eerst te laten accorderen alvorens de informatie te gebruiken bijvoorbeeld als er een verzoek om een spoedmachtiging tot uithuisplaatsing verzocht moet worden. Ook in dat geval is het wel van belang de informatie alsnog aan de derde voor te leggen ter verificatie en accordering.

- de informatie of delen niet als relevant wordt beschouwd door de medewerker? Als door een derde informatie wordt gegeven die door de medewerker niet noodzakelijk wordt geacht voor de uitvoering van de maatregel, dan zal deze informatie niet opgenomen mogen worden in het dossier.

- de derde de mondelinge gegeven informatie niet wil accorderen? In dat geval is het van belang om van de derde te weten wat hiervan de reden is en daarbij te benoemen dat, wanneer het gaat om informatie die van belang is voor de veiligheid van de jeugdige of voor de uitvoering van de maatregel, er wel iets gedaan moet doen met deze informatie en

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

60

Page 61: Privacyreglement Gecertificeerde Instelling versie 2.0

bekijkt of het mogelijk is met die derde afspraken te maken of en hoe deze informatie wordt opgenomen in het dossier. Als het gaat om een professional dan kan deze persoon worden gewezen op zijn eigen verantwoordelijkheid om iets te doen met de verstrekte informatie/zorgen. Als er sprake is van een OTS kan de derde worden gewezen op de wettelijke verplichting om informatie over de opvoeding en verzorging en die relevant is voor de uitvoering van de OTS aan de gezinsvoogd te verstrekken (artikel 7.3.11 lid 4 Jeugdwet).

INSTRUCTIE bij ontvangen mondelinge informatie van derden: 1. Medewerker ontvangt mondeling informatie van een derde.

2. Medewerker legt indien de gegeven informatie noodzakelijk/van belang is voor de

uitvoering van de taken als bedoeld in artikel 3 van het Privacyreglement deze schriftelijk vast in het dossier. Indien er sprake is van een face-to-face contact wordt dit bij voorkeur samen met de derde geformuleerd en vastgelegd. Indien geen sprake is van een face-to-face contact of indien hetgeen in een face-to-face gesprek niet met de derde samen is geformuleerd, verstuurt73 de medewerker de vastgelegde informatie ( hierbij kan het verstandig zijn duidelijk te benoemen dat het hier om een concepttekst gaat, zodat bij wijzigingen duidelijk is wat de definitieve tekst is) naar de derde waarvan deze informatie is verkregen, met het verzoek deze binnen 14 dagen74 of zoveel korter als nodig te accorderen dan wel wijzigingsvoorstellen te doen. Indien niet binnen deze termijn is gereageerd zal een herinnering moeten worden gestuurd. Hoe te handelen als de derde dan nog steeds niet reageert of als de informatie in een procesdocument is verwerkt dat richting de rechtbank moet? Er van uit gaan dat de weergave van de gegeven informatie dan juist is, brengt het risico met zich mee dat op een later moment zal blijken dat de derde niet eens is met de weergave van zijn informatie. Afgewogen zal dan moeten worden of de informatie wel of niet gebruikt zal worden. In de informatie van belang voor bijvoorbeeld de verlenging van de ondertoezichtstelling dan zal bij het vermelden van de informatie van derde in een rapportage of verzoekschrift moeten worden vermeld dat de weergave niet is geaccordeerd door deze derde en waarom niet. In het dossier wordt een conceptverslag van de informatie opgeslagen waarbij wordt vermeld op welke datum het verslag en verzoek om accordering naar desbetreffende derde is verzonden.

Inzien een derde na verloop van tijd alsnog aangeeft niet in te kunnen stemmen met de weergave van de informatie of laat weten dat er onjuiste informatie is verstrekt zie hierna onder het kopje ‘Markeren onjuiste gegevens’.

3. De medewerker verifieert bij de derde of de schriftelijke weergave juist is. Zo nee, dan de

weergave aanpassen op een zodanige manier dat er geen verwarring kan bestaan over wat nu de juiste versie van de weergave is (let op: als de informatie van de derde inmiddels ook al ergens anders is opgenomen, moet het ook daar worden aangepast).

Gegevens aanpassen niet mogelijk: Is het niet mogelijk onjuiste gegevens aan te passen bijvoorbeeld omdat een rapportage al naar derden, zoals de rechtbank of Raad voor de Kinderbescherming, is verstuurd, dan zal hiervan een aantekening in het dossier worden gemaakt bij de desbetreffende gegevens met daarbij de reden waarom de gegevens niet zijn aangepast. Van belang is dat als de informatie naar derden gaat, ook voor deze derde kenbaar is dat deze informatie onjuiste gegevens bevat. Als de rapportage al naar de rechtbank is verstuurd, dan zal de rechtbank

73 De organisatie moet beslissing op welke wijze dit dient te gebeuren. Via de mail is de snelste weg, maar vraagt wel om een goede beveiliging. 74 In deze instructie is voor een termijn van 14 dagen gekozen, maar er kan natuurlijk ook voor een andere termijn worden gekozen.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

61

Page 62: Privacyreglement Gecertificeerde Instelling versie 2.0

hierover moet worden geïnformeerd.75 Dit kan door een aangepaste versie van de rapportage na te sturen of een aanvulling/brief met daarin de juiste informatie. Als dit laatste niet mogelijk is omdat de zitting al op korte termijn is gepland zal hiervan ter zitting melding van worden gemaakt (let er dan wel op dat de juiste informatie nadien alsnog goed in de rapportage komt te staan).

4. Leg in het dossier de datum vast waarop de derde akkoord heeft gegeven. Zie voor als de

derde niet heeft gereageerd hiervoor onder stap 2.

5. Indien het niet mogelijk is om de derde akkoord te vragen voor de schriftelijke weergave

dan dient in het dossier te worden vermeld wat hiervan de reden is.

B. Verwerken schriftelijke verklaringen:

Als een derde de informatie schriftelijk overlegt kan van de juistheid van deze informatie worden uitgegaan. Dit betekent overigens niet dat de cliënt het met deze informatie eens hoeft te zijn, maar alleen dat er vanuit kan worden gegaan dat de derden het eens is met de informatie die hijzelf heeft verstrekt.

INSTRUCTIE bij ontvangen schriftelijke informatie: 1. Medewerker ontvangt schriftelijke informatie van een derde (verslag, rapport, mail, sms,

whatsapp, etc).

2. Medewerker neemt deze informatie integraal op in het dossier. N.B.: beoordeeld zal vervolgens moeten worden welke informatie en op welke wijze moet worden opgenomen in de rapportage en/of het verzoekschrift bijvoorbeeld als een derde een uitgebreide mail heeft gestuurd.

3. Medewerker bespreekt verkregen informatie met de cliënt en legt de reactie van de cliënt

vast. (zie hieronder).

4. REACTIE EN INFORMATIE VAN DE CLIËNT76

In het dossier moet de reactie van de cliënt zijn opgenomen. Hierbij gaat het ook om een reactie van de cliënt, op de weergave die een medewerker maakt van gesprekken met de cliënt en informatie die door derden wordt verstrekt. Dus ook informatie die door derden wordt verstrekt, moet met de cliënt worden besproken. In het dossier moet zijn terug te vinden dat het is besproken (met datum van het gesprek) en wat de reactie van de cliënt hierop was. Daarnaast zal de cliënt ook zelf informatie verstrekken. Vanwege het feit dat in het cliëntbegrip zowel de jeugdige als zijn ouder(s) zijn opgenomen kan er verwarring ontstaan over dit begrip. Er is in de jeugdbescherming vaak sprake van gelijklopende belangen, maar vaak ook van tegengestelde belangen. Daarmee moet bij de dossiervorming rekening gehouden worden. Bijvoorbeeld als een jeugdige of ouder informatie verstrekt waarvan zij niet willen dat dit met de (andere) ouder wordt gedeeld zal afgewogen moeten worden wat en op welke wijze de gegeven informatie wordt vastgelegd. Uitgangspunt

75 In een eerdere versie van deze werkinstructie stond vermeld dat de medewerker een afweging moet maken of de onjuiste informatie relevant is voor de besluitvorming van de rechtbank. Het CBP heeft laten weten er een voorstander van te zijn dat alle gecorrigeerde informatie alsnog ter kennis van de rechtbank wordt gebracht. Dat betekent niet dat het dossier opnieuw hoeft te worden toegezonden, maar kan een ook een aanvulling zijn waarin staat welke informatie niet juist is. 76 In het privacyreglement is de volgende definitie van ‘cliënt’ gegeven: een jeugdige en zijn ouder(s) en die zijn aangemeld bij de gecertificeerde instelling.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

62

Page 63: Privacyreglement Gecertificeerde Instelling versie 2.0

hierbij is dat mede in het licht van artikel 3 IVRK, het belang van het kind voorop dient te staan en de primaire zorg van de gecertificeerde instelling de veiligheid en ontwikkeling van het kind is. Artikel 799a lid 1 Rv nieuw formuleert dat in elke rapportage de mening van de jeugdige dient te worden opgenomen en als dat niet mogelijk is, wat hiervan de reden is. Omdat zoals hiervoor al is opgemerkt “de cliënt” zowel de jeugdig(en) als ouders omvat kan informatie over of van deze verschillende personen tegenstrijdig met elkaar zijn. Het is dan ook zaak deze informatie precies/waarheidsgetrouw te noteren en deze te koppelen aan de juiste persoon/personen. De individuele belangen moeten om die reden zorgvuldig tegen elkaar worden afgewogen, waarbij het belang van de jeugdige de eerste overweging dient te vormen. Om die reden is het opnemen van die tegengestelde opvattingen uiteraard noodzakelijk. Bespreken informatie met de jeugdige Informatie over de jeugdige wordt bij voorkeur eerst met de jeugdige besproken.77 Bij jeugdigen ouder dan 16 jaar dient de informatie in ieder geval eerst met de jeugdige te worden besproken, omdat de ouders met gezag/voogd dan geen recht op informatie meer hebben zonder toestemming van de jeugdige.78 Wanneer de jeugdige niet wenst dat de informatie met ouders wordt gedeeld, wordt bij jeugdigen tussen de 12 en 16 jaar zo veel mogelijk aan die wens tegemoet gekomen en bij jeugdigen ouder dan 16 jaar wordt die wens gerespecteerd, tenzij dit uitdrukkelijk tegen het belang van de jeugdige ingaat. Deze beslissing moet gemotiveerd, met een afweging van de betrokken belangen, worden opgenomen in het dossier. Van belang hierbij is wel goed af te wegen in hoeverre de informatie die door de jeugdige is gegeven relevant is voor de bijvoorbeeld de ontwikkelingsbedreiging op grond waarvan de ondertoezichtstelling is uitgesproken c.q. moet worden verlengd. Is die informatie hiervoor relevant dan zal dit met de jeugdige moeten worden besproken en afgewogen moeten worden op welke wijze de informatie in het plan en/of verzoekschrift wordt opgenomen. Ook bij een complexe scheiding tussen de ouders zal zorgvuldig moeten afgewogen of informatie van de ene ouder met de andere ouder mag worden gedeeld, zoals bijvoorbeeld het nieuwe adres van moeder dat zij voor de vader geheim wil houden. Als het gaat om het verstrekken van informatie is dit soort situatie is het overigens verstandig om informatie die aan beide ouders wordt verstrekt zoveel mogelijk tegelijkertijd aan ouders te geven. Cliënt niet eens met weergave Wat nu te doen als de cliënt het niet eens is met de weergave van een gesprek met de cliënt zelf of met de informatie van een derde? Dan zal bekeken moeten worden of de weergave van het gesprek met de cliënt moet worden aangepast omdat er kennelijk onjuistheden in staan. Let er op dat als de informatie wordt aangepast, deze ook in andere stukken waar de informatie in staat wordt aangepast! Als er niet zozeer sprake is van een niet correcte weergave van informatie, maar van een verschil van visie tussen de medewerker en de cliënt, dan zal ook dit verschil van visie moeten worden vastgelegd in het dossier. Indien in het dossier vastgelegde gegevens/informatie niet aan de cliënt zijn voorgelegd, dient in het dossier te worden vermeld waarom dit niet is gedaan, bijvoorbeeld omdat de jeugdige informatie heeft gegeven en deze informatie niet aan de ouders is gegeven omdat de inschatting is gemaakt dat anders de veiligheid van de jeugdige in het geding komt. INSTRUCTIE bij informatie afkomstig van de cliënt zelf: 1. Medewerker ontvangt mondelinge informatie van de cliënt.

77 Zie ook artikel 799a Rv waarin staat dat de mening van de jeugdige in het verzoekschrift moet worden vermeld. Hierbij wordt geen leeftijdsgrens aangegeven. 78 Zie ook artikel 15 van het privacyreglement.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

63

Page 64: Privacyreglement Gecertificeerde Instelling versie 2.0

2. Medewerker legt, indien deze informatie van belang is voor de uitvoering van de hulpverlening, deze schriftelijk vast in het dossier, liefst in het bijzijn van de cliënt en geformuleerd samen met de cliënt(werken met het plan op tafel).

3. Medewerker verifieert bij de cliënt of de schriftelijke weergave juist is (zie ook hierna onder stap 4). Zo nee, dan dient de weergave te worden aangepast op een zodanige wijze dat duidelijk kenbaar is voor de cliënt wat de juiste weergave is (let op: als de informatie van de cliënt inmiddels ook al ergens anders is opgenomen, moet het ook daar worden aangepast). Indien het gaat om een verschil van visie, leg dan ook dat vast in het dossier. Als het niet mogelijk is om gegevens aan te passen dan moet dit in het dossier worden vermeld en wat de reden is dat ze niet zijn aangepast.

4. Leg in het dossier de datum vast waarop de informatie met de cliënt is besproken en of de cliënt akkoord is. Is het noodzakelijk na ieder gesprek met de cliënt, de vastgelegde informatie van de cliënt te verifiëren? Het heeft de voorkeur informatie zo spoedig mogelijk nadat de informatie is ontvangen te verifiëren. Het is in ieder geval van belang dat op die momenten dat er stappen worden gezet in de hulpverlening bijvoorbeeld een beslissing moet worden genomen over een verlenging van de maatregel of het geven van een schriftelijke aanwijzing, om er voor te zorgen dat deze beslissing dan op basis van de juiste en door cliënt geaccordeerde informatie wordt genomen. Is door de cliënt informatie gegeven die niet van belang is voor een beslissing of verzoekschrift dan is het raadzaam dat dat de cliënt minimaal een keer per jaar79 de gelegenheid krijgt de informatie in het dossier te verifiëren.

5. Cliënten moeten voldoende tijd en ruimte krijgen om te reageren op de processtukken voordat ze worden verzonden naar de rechtbank. De schriftelijke reactie van de cliënt wordt integraal overgenomen in het procesdocument dan wel aan het procesdocument aangehecht.

6. Indien het niet mogelijk is om cliënt akkoord te vragen voor de schriftelijke weergave dan dient in het dossier te worden vermeld wat hiervan de reden is.

5. MARKEREN ONJUISTE GEGEVENS

Soms blijkt pas na enige tijd dat er onjuiste gegevens in het dossier zijn opgenomen. Bijvoorbeeld een jeugdhulpaanbieder ontdekt bij de halfjaarlijkse evaluatie dat in het vorige evaluatieverslag gegevens van twee jeugdigen zijn verwisseld. Op basis van dat vorige verslag heeft de gecertificeerde instelling echter wel besluiten genomen en acties uitgezet. Om die reden kan het foutieve verslag niet simpelweg worden verwijderd. Bij eventuele incidenten/ calamiteiten moet terug te vinden zijn op welke bronnen de besluiten waren gebaseerd, ook al blijken die bronnen inmiddels foutief. De jeugdhulpaanbieder zal door de gecertificeerde instelling worden gevraagd om een nieuw gecorrigeerd evaluatieverslag aan te leveren en van “foutieve” verslag zal duidelijk moeten zijn dat dit verslag vervallen en datum hiervan. Dit laatste om te voorkomen dat de onjuiste informatie in de toekomst opnieuw wordt gebruikt.

Indien de informatie ook in processtukken is gebruikt zal in toekomstige versies van deze processtukken een passage worden opgenomen over welke foutieve gegevens werden gebruikt in de oude versie, waarom deze inmiddels niet meer juist zijn, sinds wanneer en wat er niet juist wasen wat dan wel de juiste gegevens zijn.

79 In deze werkinstructie is gekozen voor minimaal een keer per jaar, maar er kan ook voor een andere frequentie worden gekozen.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

64

Page 65: Privacyreglement Gecertificeerde Instelling versie 2.0

TOT SLOT

Het is belangrijk om cliënten er op te wijzen hoe de gecertificeerde instelling omgaat met het verwerken van persoonsgegevens en waar deze worden vastgelegd (contactjournaal, WIJZ, gezinsplan e.d.). Hierbij is het ook van belang cliënten te wijzen op hun rechten om gegevens in te zien, hiervan correctie te vragen en te vragen om vernietiging van gegevens/het dossier en de wijze waarop cliënten deze rechten kunnen uitoefenen.

Bovenstaande kan worden opgenomen in bijvoorbeeld een standaardbrief aan cliënten of folders over privacy en klachtrecht.

BIJLAGE II PRIVACYREGLEMENT GECERTIFICEERDE INSTELLING Handreiking ‘Samenwerken en gegevensuitwisseling’ In de toelichting bij het privacyreglement gecertificeerde instelling is toegelicht wat persoonsgegevens zijn, wat het doel, de voorwaarden en grondslag voor verwerking hiervan is. In artikel 15 is bepaald onder welke voorwaarden informatie over de cliënt aan een derde mag worden verstrekt, de zogenaamde ‘derdenverstrekking’. In deze handreiking wordt aan de medewerker handvatten geboden om op een zorgvuldige manier met het verstrekken van informatie aan derden om te gaan. Één gezin, één plan Niet alleen in de jeugdzorg maar ook in het Passend Onderwijs, maatschappelijke ondersteuning en werk en inkomen is samenwerken een speerpunt geworden. Als er meerdere hulpverleners betrokken zijn bij een gezin, is het de bedoeling hulp te verlenen op basis van één gezamenlijk plan met één regisseur. Van belang hierbij is het volgende goed voor ogen te houden:

- Samenwerken moet geen doel op zich zijn, maar een middel om tot een zo optimale hulpverlening aan de cliënt te komen;

- Werken op basis van één gezin, één plan betekent niet werken met een gezamenlijk dossier. Iedere betrokken hulpverlener/organisatie werkt met een eigen dossier. Het 1-plan bevat in beginsel géén informatie over de achtergrond van de problematiek, of de inhoudelijke overwegingen vanuit de verschillende disciplines of hulpverleners. Deze informatie is vastgelegd in de eigen dossiers van de verschillende hulpverleners’.80

- Werken op basis van één gezin, één plan vraagt om een afweging over het doel en de noodzaak hiervan.

Deelname in een samenwerkingsverband Als de gecertificeerde instelling besluit deel te nemen in een samenwerkingsverband zoals het CJG, sociaal wijk – of jeugdteam is het van belang hierover duidelijke samenwerkingsafspraken te

80 Zie ook het Eindadvies Informatievoorziening Sociaal Domein, 29 juli 2013 (VISD) opgesteld door KING in opdracht van de VNG.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

65

Page 66: Privacyreglement Gecertificeerde Instelling versie 2.0

maken. In deze samenwerkingsafspraken moet onder meer aandacht zijn voor de volgende onderwerpen:

- Wat is het doel van het samenwerkingsverband en hoe verenigt zich dit met de taken van de gecertificeerde instelling?

- Wie is de verantwoordelijke voor het verwerken van persoonsgegevens? Maakt iedere deelnemer bijvoorbeeld een eigen verslag van overleggen of is één persoon/organisatie hiervoor verantwoordelijk?

- Wat zijn de juridische gevolgen van een calamiteit waarbij een cliënt of werknemer die bij de uitoefening van zijn werkzaamheden voor het samenwerkingsverband schade lijdt en welke afspraken zijn hierover gemaakt? 81

Wel of niet overgaan tot gegevensuitwisseling? Als een medewerker van de gecertificeerde instelling overweegt om met een andere (jeugd) hulpverlener te gaan overleggen over een cliënt al dan niet binnen een samenwerkingsverband kunnen de volgende vragen helpend zijn om tot een zorgvuldige afweging te komen of dit wel noodzakelijk is en zo ja welke informatie noodzakelijk is om uit te wisselen: 1. Waarom en met welk doel wil ik overleggen/samenwerken? Staan het delen of opvragen van

informatie en doel met elkaar in verhouding? (proportionaliteit)

2. Is het uitwisselen van informatie (lees: persoonsgegevens) over de jeugdige/het gezin noodzakelijk voor mijn taakvervulling of kan ik mijn doel ook op een andere manier bereiken? (subsidiariteit)

3. Met wie wil ik informatie uitwisselen en waarom? Zijn de rollen van de betrokken professionals helder? Als de informatie wordt uitgewisseld in een samenwerkingsverband is het dan noodzakelijk de informatie met alle professionals van dit samenwerkingsverband wordt gedeeld?

4. Welke informatie is noodzakelijk om te delen met een derde en welke informatie is voor mijn taakvervulling noodzakelijk om te ontvangen?

5. Heb ik de reden waarom ik wil gaan overleggen met derden al met de cliënt besproken? Zo nee, waarom niet? Is het omdat ik het lastig vind om het gesprek met hen aan te gaan of is hiervoor een andere reden? Van belang is om transparant naar de cliënt te zijn over welke stappen worden gezet en welke informatie-uitwisseling hiervoor noodzakelijk is (‘samenwerken met het plan op tafel’). Wellicht dat de cliënt zelf de informatie kan geven en contact hierover zoeken met een derde dus niet nodig is.

6. Kan ik informatie uitwisselen zonder persoonsgegevens te delen (de casus anoniem bespreken)? Zie hiervoor de toelichting bij artikel 15 Privacyreglement gecertificeerde instelling.

7. Weet ik hoe mijn organisatie omgaat met privacy en wat wel/niet is toegestaan?

8. Heb ik toestemming van de cliënt om contact te zoeken met een derde en informatie over de cliënt uit te wisselen? Kan ik zonder toestemming van de cliënt toestemming uitwisselen? Zie de Privacywijzer gecertificeerde instelling.

9. Wat ga ik doen met de gedeelde informatie? Waar leg ik de informatie vast?

81 Zie ‘Handreiking Samenwerken binnen (jeugd)wijkteams. Over verantwoordelijkheid en aansprakelijkheid bij calamiteiten’, gemaakt in opdracht van de Rijksoverheid en VNG.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

66

Page 67: Privacyreglement Gecertificeerde Instelling versie 2.0

10. Wie heeft toegang tot de informatie? Deze vraag speelt enerzijds binnen de organisatie als

het gaat om de vraag wie toegang tot het dossier heeft, maar ook bijvoorbeeld in een samenwerkingsverband zoals een sociaal wijkteam.

11. Hoe ga ik om met de rechten van de cliënt op inzage, correctie en vernietiging? Zie ook de toelichting bij de artikelen 11 t/m 14, 19 en 20 Privacyreglement gecertificeerde instelling.

12. Zijn de benodigde veiligheidsmaatregelen genomen m.b.t. de gegevens/dossiers? Dit is een vraag die aan de eigen organisatie gesteld kan worden.

Het beantwoorden van voorgenoemde vragen vraagt om het maken van afwegingen. Maak deze afwegingen waar nodig met collega’s samen en leg de besluitvorming hiervoor in het dossier vast.

Privacyreglement gecertificeerde instelling, versie 2.0 2016 Tekst en toelichting. Datum: 8 januari 2016

67